Qu’est-ce qu’Azure Resource Graph ?

  • Article

Azure Resource Graph est un service Azure conçu pour étendre Azure Resource Management. Il permet non seulement d’explorer de manière efficace et performante les ressources, mais aussi de lancer des requêtes à grande échelle sur un ensemble donné d’abonnements pour permettre une gouvernance efficace de votre environnement. Ces requêtes vous permettent d’effectuer les tâches suivantes :

  • Interroger les ressources avec des fonctions complexes de filtrage, de regroupement et de tri en fonction des propriétés des ressources.
  • Explorer des ressources de manière itérative selon les exigences de gouvernance.
  • Évaluer l’effet de l’application de stratégies dans un environnement cloud étendu.
  • Interroger les modifications apportées aux propriétés des ressources.

Dans cette documentation, vous allez examiner en détail chacune de ces fonctionnalités.

Remarque

Azure Resource Graph gère la barre de recherche du Portail Azure, la nouvelle expérience de navigation Toutes les ressources ainsi que le différentiel visuel Modifier l’historique d’Azure Policy. Il est conçu pour aider les clients à gérer des environnements à grande échelle.

Notes

Ce service prend en charge Azure Lighthouse, qui permet aux fournisseurs de services de se connecter à leur propre locataire pour gérer les abonnements et les groupes de ressources que les clients ont délégués.

Comment Resource Graph complète Azure Resource Manager

Azure Resource Manager prend actuellement en charge des requêtes sur des champs de ressources de base, en particulier :

  • Nom de la ressource
  • id
  • Type
  • Groupe de ressources
  • Abonnement
  • Emplacement

Azure Resource Manager fournit également des fonctionnalités permettant d’appeler des fournisseurs de ressources individuels afin d’obtenir des propriétés détaillées sur une ressource à la fois.

Avec Azure Resource Graph, vous pouvez accéder aux propriétés retournées par les fournisseurs de ressources sans appeler chaque fournisseur. Pour obtenir la liste des types de ressources pris en charge, consultez les informations de référence sur les types et tables de ressources. Un autre moyen de voir les types de ressource pris en charge consiste à utiliser le Navigateur de schémas de l’Explorateur Azure Resource Graph.

Azure Resource Graph vous permet :

  • d’accéder aux propriétés retournées par les fournisseurs de ressources sans appeler chaque fournisseur ;
  • d’afficher les 14 derniers jours de modifications de configuration de ressources pour voir quelles propriétés ont été modifiées et quand.

Remarque

Comme il s’agit d’une fonctionnalité en préversion, certains objets type ont des propriétés supplémentaires non-Resource Manager disponibles. Pour plus d’informations, consultez Propriétés étendues.

Méthode de mise à jour de Resource Graph

Lorsqu’une ressource Azure est mise à jour, Azure Resource Manager en avertit Azure Resource Graph. Azure Resource Graph met alors à jour sa base de données. Azure Resource Graph effectue également une analyse complète régulière. Cette analyse garantit que les données d’Azure Resource Graph sont à jour en cas de notifications manquantes ou lorsqu’une ressource est mise à jour en dehors d’Azure Resource Manager.

Remarque

Resource Graph utilise GET sur l’API (interface de programmation d'applications) autre que la préversion la plus récente de chaque fournisseur de ressources pour collecter des propriétés et des valeurs. Par conséquent, la propriété attendue peut ne pas être disponible. Dans certains cas, la version d’API utilisée a été remplacée pour fournir des propriétés plus courantes ou largement employées dans les résultats. Pour obtenir la liste complète dans votre environnement, consultez l’exemple Afficher la version d’API pour chaque type de ressource.

Langage de requête

Maintenant que vous avez une meilleure idée de ce qu’est Azure Resource Graph, voyons comment construire des requêtes.

Il est important de comprendre que le langage de requête d’Azure Resource Graph est basé sur le langage de requête Kusto (KQL) utilisé par Azure Data Explorer.

Tout d’abord, pour obtenir des informations sur les opérations et fonctions qui peuvent être utilisées avec Azure Resource Graph, consultez le langage de requête Resource Graph. Pour parcourir des ressources, consultez Explorer les ressources.

Autorisations dans Azure Resource Graph

Pour utiliser Resource Graph, vous devez disposer des droits appropriés pour le contrôle d’accès en fonction du rôle Azure (Azure RBAC), avec au moins un accès read aux ressources à interroger. Aucun résultat n’est retourné si vous n’avez pas au moins des autorisations read sur l’objet ou le groupe d’objets Azure.

Remarque

Resource Graph utilise les abonnements disponibles pour un principal lors de la connexion. Pour afficher les ressources d’un nouvel abonnement ajouté pendant une session active, le principal doit actualiser le contexte. Cette action se produit automatiquement quand vous vous déconnectez puis vous reconnectez.

Azure CLI et Azure PowerShell utilisent des abonnements auxquels l’utilisateur a accès. Lorsque vous utilisez une API REST, la liste d’abonnements est fournie par l’utilisateur. Si l’utilisateur a accès à l’un des abonnements de la liste, les résultats de la requête sont retournés pour les abonnements auxquels l’utilisateur a accès. Ce comportement est le même que lors de l’appel de Groupes de ressources : liste, car vous obtenez les groupes de ressources auxquels vous pouvez accéder, sans aucune indication que le résultat peut être partiel. S’il n’existe aucun abonnement dans la liste des abonnements pour lesquels l’utilisateur dispose des droits appropriés, la réponse est un 403 (Interdit).

Notes

Dans la préversion de l’API REST 2020-04-01-preview, la liste des abonnements peut être omise. Quand les propriétés subscriptions et managementGroupId ne sont pas définies dans la demande, l’étendue est définie sur le locataire. Pour plus d’informations, consultez Étendue de la requête.

Limitation

Le service étant gratuit, les requêtes vers Resource Graph sont limitées afin d’offrir une excellente expérience et un temps de réponse optimal à tous les clients. Si votre organisation souhaite utiliser l'API Resource Graph pour les requêtes fréquentes et à grande échelle, utilisez l'option Commentaires du portail à partir de la page du portail Resource Graph. Fournissez votre étude de cas et cochez la case Microsoft peut vous contacter par e-mail à propos de vos commentaires afin que l'équipe puisse vous contacter.

Resource Graph limite les requêtes au niveau utilisateur. La réponse du service contient les en-têtes HTTP suivants :

  • x-ms-user-quota-remaining (int) : quota de ressources restant pour l'utilisateur. Cette valeur correspond au nombre de requêtes.
  • x-ms-user-quota-resets-after (hh:mm:ss) : délai à attendre avant la réinitialisation de la consommation du quota d'un utilisateur.

Pour plus d’informations, consultez les Instructions pour les requêtes limitées.

Exécution de votre première requête

L’Explorateur Azure Resource Graph, qui fait partie du portail Azure, permet d’exécuter des requêtes Resource Graph directement dans le portail Azure. Épinglez les résultats sous forme de graphiques dynamiques pour fournir des informations dynamiques en temps réel à votre workflow du portail. Pour plus d’informations, consultez Première requête avec l’Explorateur Azure Resource Graph.

Resource Graph prend également en charge Azure CLI, Azure PowerShell et l’API REST. La requête est structurée de la même manière pour chaque langage. Découvrez comment activer Resource Graph :

Intégration des alertes à Log Analytics

Remarque

L’intégration d’alertes Azure Resource Graph à Log Analytics est en préversion publique.

Vous pouvez créer des règles d’alerte à l’aide de requêtes Azure Resources Graph ou en intégrant Log Analytics avec des requêtes Azure Resources Graph par Azure Monitor. Les deux méthodes peuvent être utilisées pour créer des alertes pour des ressources Azure. Pour obtenir des exemples, accédez à Démarrage rapide : Créer des alertes avec Azure Resource Graph et Log Analytics.

Exécuter des requêtes avec le connecteur Power BI

Remarque

Le connecteur Power BI d’Azure Resource Graph est en préversion publique.

Le connecteur Power BI d’Azure Resource Graph exécute des requêtes au niveau du locataire, mais vous pouvez modifier l’étendue en abonnement ou groupe d’administration. Le connecteur Power BI a un paramètre facultatif pour renvoyer toutes les lignes si les résultats de votre requête ont plus de 1 000 lignes. Pour plus d’informations, consultez Démarrage rapide : Exécuter des requêtes avec le connecteur Power BI d’Azure Resource Graph.

Étapes suivantes