¿Qué es Azure Resource Graph?

  • Artículo

Azure Resource Graph es un servicio de Azure diseñado para ampliar la administración de recursos de Azure al proporcionar una exploración de recursos eficiente y de alto rendimiento con la capacidad de consultar a escala a través de un conjunto determinado de suscripciones para que pueda gobernar eficazmente el entorno. Estas consultas proporcionan las siguientes capacidades:

  • Capacidad para consultar recursos con propiedades complejas de filtrado, agrupación y ordenación por recursos.
  • Capacidad de explorar recursos de forma iterativa en función de los requisitos de gobernanza.
  • Capacidad de evaluar el efecto de aplicar políticas en un entorno de nube de gran capacidad.
  • Consultar los cambios realizados en las propiedades de los recursos.

En esta documentación, revisará cada característica en detalle.

Nota:

Azure Resource Graph se usa en la barra de búsqueda de Azure Portal, en la nueva experiencia de Todos los recursos y en el historial de cambiosdiferencia visual de Azure Policy. Se ha diseñado para ayudar a los clientes a administrar entornos a gran escala.

Nota

Este servicio admite Azure Lighthouse, que permite a los proveedores de servicios iniciar sesión en su propio inquilino para administrar las suscripciones y los grupos de recursos que los clientes hayan delegado.

Cómo complementa Resource Graph a Azure Resource Manager

Actualmente Azure Resource Manager admite consultas sobre campos de recursos básicos, específicamente:

  • Nombre del recurso
  • ID
  • Tipo
  • Grupo de recursos
  • Suscripción
  • Location

Azure Resource Manager también proporciona los medios para llamar a proveedores de recursos individuales a fin de obtener las propiedades detalladas de los recursos de uno en uno.

Con Azure Resource Graph, puede tener acceso a estas propiedades que devuelven los proveedores de recursos sin necesidad de realizar llamadas individuales a cada proveedor de recursos. Para ver una lista de los tipos de recursos admitidos, revise la referencia de tabla y tipo de recurso. Una manera alternativa de ver los tipos de recursos admitidos es mediante el explorador de esquemas de Azure Resource Graph Explorer.

Con Azure Resource Graph, puede:

  • Acceder a las propiedades que devuelven los proveedores de recursos sin necesidad de realizar llamadas individuales a cada uno de ellos.
  • Ver los últimos 14 días de los cambios en la configuración de recursos para ver qué propiedades cambiaron y cuándo lo hicieron.

Nota:

Como característica en versión preliminar, algunos objetos type tienen disponibles propiedades adicionales que no son de Resource Manager. Para más información, consulte Propiedades extendidas.

Cómo se mantiene actualizado Resource Graph

Cuando se actualiza un recurso de Azure, Azure Resource Manager notifica a Azure Resource Graph sobre el cambio. A continuación, Azure Resource Graph actualiza su base de datos. Azure Resource Graph también realiza un examen completo regular. Este examen garantiza que los datos de Azure Resource Graph sean actuales en caso de que falten notificaciones o al actualizarse un recurso fuera de Azure Resource Manager.

Nota:

Resource Graph usa una operación GET en la API de la versión no preliminar más reciente de cada proveedor de recursos para recopilar propiedades y valores. Como resultado, es posible que la propiedad esperada no esté disponible. En algunos casos, la versión de la API usada se ha invalidado para proporcionar propiedades más actuales o ampliamente utilizadas en los resultados. Consulte el ejemplo de Mostrar la versión de API para cada tipo de recurso para obtener una lista completa de su entorno.

El lenguaje de consulta

Ahora que comprende mejor qué es Azure Resource Graph, vamos a profundizar en cómo crear consultas.

Es importante entender que el lenguaje de consulta de Azure Resource Graph se basa en el lenguaje de consulta de Kusto (KQL) que usa Azure Data Explorer.

En primer lugar, para obtener información sobre las operaciones y funciones que se pueden usar con Azure Resource Graph, consulte Lenguaje de consulta de Resource Graph. Para examinar los recursos, consulte Explorar recursos.

Permisos en Azure Resource Graph

Para usar Resource Graph, debe tener los derechos adecuados en el Control de acceso basado en roles de Azure (Azure RBAC) con al menos acceso de read a los recursos que quiera consultar. No se devuelve ningún resultado si no tiene al menos permisos de read para el objeto o grupo de objetos de Azure.

Nota:

Resource Graph usa las suscripciones disponibles de una entidad de seguridad durante el inicio de sesión. Para ver los recursos de una nueva suscripción que se agregan durante una sesión activa, la entidad de seguridad debe actualizar el contexto. Esta acción se produce automáticamente al cerrar sesión y volver a iniciarla posteriormente.

La CLI de Azure y Azure PowerShell usan suscripciones a las que el usuario tiene acceso. Cuando use la API de REST, el usuario es quien proporciona la lista de suscripciones. Si el usuario tiene acceso a cualquiera de las suscripciones de la lista, los resultados de la consulta se devuelven a las suscripciones a las que el usuario tiene acceso. Este comportamiento es el mismo que cuando se llama a Grupo de recursos: Lista, ya que se obtienen grupos de recursos a los que puede acceder sin indicar que el resultado puede ser parcial. Si no hay suscripciones en la lista de suscripciones para las que el usuario tiene los derechos adecuados, la respuesta es 403 (prohibido).

Nota

En la versión preliminar de la API REST, versión 2020-04-01-preview, es posible que la lista de suscripciones se haya omitido. Si las propiedades subscriptions y managementGroupId no se definen en la solicitud, el ámbito se establece en el inquilino. Para más información, consulte Ámbito de la consulta.

Limitaciones

Como servicio gratuito, las consultas a Resource Graph se limitan para proporcionar la mejor experiencia y tiempo de respuesta para todos los clientes. Si la organización quiere usar Resource Graph API para consultas frecuentes y a gran escala, use el portal Comentarios de la página Resource Graph del portal. Proporcione su caso de negocio y seleccione la casilla Microsoft puede ponerse en contacto con usted por correo electrónico en relación con sus comentarios para que el equipo pueda ponerse en contacto con usted.

Resource Graph limita las consultas en el nivel de usuario. La respuesta del servicio contiene estos encabezados HTTP:

  • x-ms-user-quota-remaining (int): la cuota de recurso restante para el usuario. Este valor se asigna al número de consultas.
  • x-ms-user-quota-resets-after (hh:mm:ss): tiempo transcurrido hasta que se restablece el consumo de la cuota de un usuario.

Para más información, consulte Guía para soluciones limitadas.

Ejecución de la primera consulta

Azure Resource Graph Explorer, que forma parte de Azure Portal, permite ejecutar consultas de Resource Graph directamente en Azure Portal. Ancle los resultados como gráficos dinámicos para proporcionar información dinámica en tiempo real al flujo de trabajo del portal. Para más información, vaya a Primera consulta con Azure Resource Graph Explorer.

Resource Graph también admite la CLI de Azure, Azure PowerShell y la API de REST. La consulta se estructura igual para cada lenguaje. Aprenda a habilitar Resource Graph con:

Integración de alertas con Log Analytics

Nota:

La integración de alertas de Azure Resource Graph con Log Analytics está en versión preliminar pública.

Puede crear reglas de alerta mediante consultas de Azure Resources Graph o la integración de Log Analytics con consultas de Azure Resources Graph a través de Azure Monitor. Ambos métodos se pueden usar para crear alertas para los recursos de Azure. Para obtener ejemplos, vaya a Inicio rápido: Creación de alertas con Azure Resource Graph y Log Analytics.

Ejecutar consultas con el conector de Power BI

Nota:

El conector de Power BI para Azure Resource Graph se encuentra en versión preliminar pública.

El conector de Power BI de Azure Resource Graph ejecuta consultas en el nivel de inquilino, pero puede cambiar el ámbito a la suscripción o al grupo de administración. El conector de Power BI tiene una configuración opcional para devolver todos los registros si los resultados de la consulta tienen más de 1000 registros. Para más información, vaya a Inicio rápido: Ejecutar consultas con el conector de Power BI de Azure Resource Graph.

Pasos siguientes