Partage via


Configurer l'intégration des rapports sur les coûts et l'utilisation AWS

Remarque

Le connecteur AWS du service Cost Management est mis hors service le 31 mars 2025. Les utilisateurs doivent considérer d’autres solutions pour l’établissement de rapports sur la gestion des coûts AWS. Le 31 mars 2024, Azure désactive la possibilité d’ajouter de nouveaux connecteurs pour AWS pour tous les clients. Pour plus d’informations, voir Mettre hors service votre connecteur Amazon Web Services (AWS).

Grâce à l’intégration du rapport sur les coûts et l’utilisation (CUR) d’Amazon Web Services (AWS), vous supervisez et contrôlez vos dépenses AWS dans Cost Management. L’intégration offre un emplacement unique dans le portail Azure où vous supervisez et contrôlez les dépenses pour Azure et AWS. Cet article explique comment configurer l’intégration et l’utiliser pour analyser les coûts et revoir les budgets à l’aide des fonctionnalités de Cost Management.

Cost Management traite le rapport sur les coûts et l'utilisation AWS stocké dans un compartiment S3 en utilisant vos identifiants d'accès à AWS pour obtenir les définitions des rapports et télécharger des fichiers CSV de rapport au format GZIP.

Créer un rapport sur les coûts et l’utilisation dans AWS

L'utilisation d'un rapport sur les coûts et l'utilisation est la méthode recommandée par AWS pour recueillir et traiter les coûts AWS. Le connecteur Cost Management Cross Cloud prend en charge les rapports d’utilisation et de coût configurés au niveau du compte de gestion (consolidé). Pour plus d'informations, consultez la documentation Rapport sur les coûts et l’utilisation AWS.

Utilisez la page Cost & Usage Reports (Rapports sur les coûts et l'utilisation) de la console Facturation et gestion des coûts d’AWS pour créer un rapport sur les coûts et l'utilisation en procédant comme suit :

  1. Connectez-vous à la console de gestion AWS et ouvrez la console Billing and Cost Management (Facturation et gestion des coûts).
  2. Dans le volet de navigation, sélectionnez Cost & Usage Reports (Rapports sur les coûts et l'utilisation).
  3. Sélectionnez Create report (Créer un rapport).
  4. Pour Report name (Nom du rapport), entrez un nom pour votre rapport.
  5. Sous Additional report details (Détails du rapport supplémentaires), sélectionnez Include resource IDs (Inclure les ID de ressource).
  6. Pour Data refresh settings (Paramètres d’actualisation des données), indiquez si vous voulez actualiser le rapport sur les coûts et l’utilisation AWS si AWS applique des remboursements, des crédits ou des frais de support à votre compte une fois votre facture finalisée. À chaque actualisation d’un rapport, un nouveau rapport est chargé sur Amazon S3. Nous vous recommandons de conserver le paramètre sélectionné.
  7. Sélectionnez Suivant.
  8. Pour S3 bucket (Compartiment S3), choisissez Configure (Configurer).
  9. Dans la boîte de dialogue Configure S3 Bucket (Configurer le compartiment S3), entrez un nom de compartiment et la région où vous souhaitez créer un compartiment, puis choisissez Next (Suivant).
  10. Sélectionnez I have confirmed that this policy is correct (Je confirme que cette stratégie est correcte), puis sélectionnez sur Save (Enregistrer).
  11. (Facultatif) Pour le préfixe Report path (Chemin du rapport), entrez le préfixe du chemin du rapport que vous voulez ajouter au nom de votre rapport.
    Si vous ignorez cette opération, le préfixe par défaut est le nom que vous avez spécifié pour le rapport. La plage de dates a le format /report-name/date-range/.
  12. Pour Unité de temps, choisissez Toutes les heures.
  13. Pour Report versioning (Gestion des versions du rapport), choisissez si vous voulez que chaque version du rapport écrase la version précédente ou si vous voulez de nouveaux rapports supplémentaires.
  14. Pour Enable data integration for (Activer l'intégration des données pour), aucune sélection n'est nécessaire.
  15. Pour Compression, sélectionnez GZIP.
  16. Cliquez sur Suivant.
  17. Après avoir vérifié les paramètres de votre rapport, sélectionnez Review and Complete (Vérifier et finaliser).
    Notez le nom du rapport. Vous l’utiliserez dans les étapes ultérieures.

Il peut s'écouler jusqu'à 24 heures avant qu'AWS commence à distribuer des rapports à votre compartiment Amazon S3. Après chaque distribution, AWS met à jour au moins une fois par jour les fichiers du rapport sur les coûts et l'utilisation AWS. Vous pouvez continuer à configurer votre environnement AWS sans attendre le début de la distribution.

Notes

Les rapports d’utilisation et de coût configurés au niveau du compte membre (lié) ne sont pas pris en charge actuellement.

Créer une stratégie et un rôle dans AWS

Cost Management accède plusieurs fois par jour au compartiment S3 où se trouve le rapport sur les coûts et l’utilisation. Le service a besoin d'accéder aux informations d'identification pour vérifier la présence de nouvelles données. Vous créez un rôle et une stratégie dans AWS pour permettre à Cost Management d'y accéder.

Pour activer l'accès en fonction du rôle à un compte AWS dans Cost Management, le rôle est créé dans la console AWS. Vous devez obtenir un rôle ARN et un identifiant externe de la console AWS. Vous utiliserez ces informations sur la page Créer un connecteur AWS dans Cost Management.

Utiliser l’Assistant Créer une stratégie

  1. Connectez-vous à votre console AWS, puis sélectionnez Services.
  2. Dans la liste des services, sélectionnez IAM.
  3. Sélectionnez Stratégies.
  4. Sélectionnez Créer une stratégie.
  5. Sélectionnez Choisir un service.

Configurer l’autorisation pour le rapport sur les coûts et l’utilisation

  1. Entrez Rapport sur les coûts et l’utilisation.
  2. Sélectionnez Niveau d’accès>Lecture>DescribeReportDefinitions. Cette étape permet à Cost Management de lire les rapports CUR définis et de déterminer s’ils correspondent aux exigences de définition de rapport.
  3. Sélectionnez Add more permissions (Ajouter d’autres autorisations).

Configurer l’autorisation pour votre compartiment S3 et les objets

  1. Sélectionnez Choisir un service.
  2. Entrez S3.
  3. Sélectionnez Niveau d’accès>Liste>ListBucket. Cette action obtient la liste des objets dans le compartiment S3.
  4. Sélectionnez Niveau d’accès>Lecture>GetObject. Cette action permet de télécharger des fichiers de facturation.
  5. Sélectionnez Resources (Ressources)>Specific (Spécifiques).
  6. Dans le compartiment, sélectionnez le lien Add ARNs (Ajouter des ARN) pour ouvrir une autre fenêtre.
  7. Dans Resource Bucket name (Nom du compartiment de ressources), entrez le compartiment utilisé pour stocker les fichiers CUR.
  8. Sélectionnez Add ARNs (Ajouter des ARN).
  9. Dans object (objet), sélectionnez Any (n’importe lequel).
  10. Sélectionnez Add more permissions (Ajouter d’autres autorisations).

Configurer l’autorisation pour Cost Explorer

  1. Sélectionnez Choisir un service.
  2. Entrez Service Cost Explorer.
  3. Sélectionnez All Cost Explorer Service actions (ce:*) (Toutes les actions du service Cost Explorer). Cette action valide la collection.
  4. Sélectionnez Add more permissions (Ajouter d’autres autorisations).

Ajouter une autorisation pour les organisations AWS

  1. Entrez Organizations (Organisations).
  2. Sélectionnez Niveau d’accès>Liste>ListAccounts. Cette action obtient les noms des comptes.
  3. Sélectionnez Add more permissions (Ajouter d’autres autorisations).

Configurer les autorisations pour les stratégies

  1. Entrez IAM.
  2. Sélectionnez Niveau d’accès > Liste >ListAttachedRolePolicies et ListPolicyVersions et ListRoles.
  3. Sélectionnez Niveau d’accès > Lecture >GetPolicyVersion.
  4. Sélectionnez la stratégie Ressources>, puis sélectionnez N’importe laquelle. Ces actions permettent de vérifier que seul le jeu d’autorisations minimal requis a été accordé au connecteur.
  5. Cliquez sur Suivant.

Vérifier et créer

  1. Dans Review Policy (Stratégie de vérification), entrez le nom de la nouvelle stratégie. Vérifiez l’exactitude des informations que vous avez entrées.
  2. Ajouter des balises. Vous pouvez entrer les balises que vous souhaitez utiliser ou ignorer cette étape. Cette étape n’est pas nécessaire pour créer un connecteur dans Cost Management.
  3. Sélectionnez Create policy (Créer une stratégie) pour effectuer cette procédure.

L’élément JSON de la stratégie doit ressembler à l’exemple suivant. Remplacez bucketname par le nom de votre compartiment S3, accountname par votre numéro de compte et rolename par le nom de rôle que vous avez créé.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "iam:ListRoles",
                "ce:*",
                "cur:DescribeReportDefinitions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "iam:GetPolicyVersion",
                "iam:ListPolicyVersions",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:s3:::bucketname",
                "arn:aws:s3:::bucketname/*",
                "arn:aws:iam::accountnumber:policy/*",
                "arn:aws:iam::accountnumber:role/rolename"
            ]
        }
    ]
}

Utiliser l'Assistant Créer un rôle

  1. Connectez-vous à votre console AWS, puis sélectionnez Services (Services).
  2. Dans la liste des services, sélectionnez IAM.
  3. Sélectionnez Rôles, puis sélectionnez Créer un rôle.
  4. Dans la page Sélectionner une entité approuvée, sélectionnez Compte AWS, puis sous Un compte AWS, sélectionnez Autre compte AWS.
  5. Sous ID de compte, entrez 432263259397.
  6. Sous Options, sélectionnez Nécessite un ID externe (recommandé lorsqu’un tiers occupe ce rôle).
  7. Sous ID externe, entrez l’ID externe, qui est un code secret partagé entre le rôle AWS et Cost Management. Notez l’ID externe, car vous l’utiliserez sur la page Nouveau connecteur dans Cost Management. Microsoft vous recommande d’utiliser une stratégie de code secret sécurisé lors de la saisie de l’ID externe. L’ID externe doit respecter les restrictions AWS :
    • Tapez : String
    • Contraintes de longueur : longueur minimale de 2. Longueur maximale de 1224.
    • Doit satisfaire le modèle d’expression régulière : [\w+=,.@: /-]*

    Remarque

    Ne modifiez pas la sélection pour Exiger une authentification multifacteur. Elle doit rester désactivée.

  8. Cliquez sur Suivant.
  9. Sur la barre de recherche, recherchez votre nouvelle stratégie et sélectionnez-la.
  10. Cliquez sur Suivant.
  11. Dans Rote details (Détails du rôle), entrez un nom de rôle. Vérifiez l’exactitude des informations que vous avez entrées. Notez le nom entré, car vous l’utiliserez ultérieurement lorsque vous configurez le connecteur Cost Management.
  12. Ajoutez des étiquettes si vous le souhaitez. Vous pouvez entrer n’importe quelle balise ou ignorer cette étape. Cette étape n’est pas nécessaire pour créer un connecteur dans Cost Management.
  13. Sélectionnez Create role.

Configurer un nouveau connecteur pour AWS dans Azure

Utilisez les informations suivantes pour créer un connecteur AWS et démarrer la surveillance de vos coûts AWS.

Notes

Le connecteur pour AWS reste actif une fois la période d’évaluation terminée si vous définissez la configuration de renouvellement automatique sur Activé pendant la configuration initiale. Sinon, le connecteur est désactivé après sa version d’évaluation. Il peut rester désactivé pendant trois mois avant sa suppression définitive. Une fois le connecteur supprimé, la même connexion ne peut pas être réactivée. Pour obtenir de l’aide sur un connecteur désactivé ou pour créer une connexion après sa suppression, créez une demande de support dans le portail Azure.

Prérequis

Créer un nouveau connecteur

  1. Connectez-vous au portail Azure.
  2. Accédez à Gestion des coûts + facturation et sélectionnez une étendue de facturation, si nécessaire.
  3. Sélectionnez Analyse du coût, puis Paramètres.
  4. Sélectionnez Connecteurs pour AWS.
  5. Sélectionnez Ajouter un connecteur.
  6. Dans la page Créer un connecteur, dans Nom d’affichage, entrez un nom pour votre connecteur.
    Capture d’écran montrant la page Créer un connecteur sur laquelle vous effectuez la configuration et un connecteur AWS.
  7. Vous pouvez également sélectionner le groupe d'administration par défaut. Il stocke tous les comptes liés découverts. Vous pouvez configurer ce paramètre ultérieurement.
  8. Dans la section Facturation, définissez Renouvellement automatiquement sur Oui si vous voulez garantir un fonctionnement continu. Si vous sélectionnez l’option automatique, vous devez sélectionner un abonnement de facturation.
  9. Pour Role ARN (Rôle ARN), entrez la valeur que vous avez utilisée pour configurer le rôle dans AWS.
  10. Pour External ID (ID externe), entrez la valeur que vous avez utilisée pour configurer le rôle dans AWS.
  11. Pour Nom du rapport, entrez le nom que vous avez créé dans AWS.
  12. Sélectionnez Suivant, puis Créer.

Il faudra peut-être quelques heures avant qu’apparaissent les nouvelles étendues AWS, le compte AWS consolidé, les comptes AWS liés et leurs données de coûts.

Après avoir créé le connecteur, nous vous recommandons de lui attribuer un contrôle d'accès. Les utilisateurs se voient attribuer des autorisations pour les nouvelles étendues découvertes : Compte AWS consolidé et comptes AWS liés. L'utilisateur qui crée le connecteur est le propriétaire du connecteur, du compte consolidé et de tous les comptes liés.

Attribuez des autorisations de connecteur aux utilisateurs si la découverte n'attribue aucune autorisation aux étendues AWS existantes. Au lieu de cela, des autorisations sont attribuées uniquement aux nouveaux comptes liés.

Effectuer d’autres étapes

  • Le cas échéant, configurez des groupes d’administration.
  • Vérifiez que les nouvelles étendues sont ajoutées à votre sélecteur d’étendue. Sélectionnez Actualiser pour afficher les données les plus récentes.
  • Sur la page Connecteurs cloud, sélectionnez votre connecteur, puis choisissez Accéder au compte de facturation pour attribuer le compte lié à des groupes d’administration.

Notes

Les groupes d’administration ne sont actuellement pas pris en charge pour les clients disposant d’un Contrat client Microsoft (MCA). Ces clients peuvent créer le connecteur et visualiser leurs données AWS. Cependant, les clients MCA ne peuvent pas voir leurs coûts Azure et leurs coûts AWS ensemble dans un groupe d’administration.

Gérer les connecteurs AWS

Quand vous sélectionnez un connecteur dans la page Connecteurs pour AWS, vous pouvez :

  • Sélectionner Accéder au compte de facturation pour afficher les informations relatives au compte AWS consolidé.
  • Sélectionner Contrôle d'accès pour gérer l'attribution de rôle pour le connecteur.
  • Sélectionner Modifier pour mettre à jour le connecteur. Vous ne pouvez pas modifier le numéro de compte AWS car il apparaît dans le rôle ARN. Mais vous pouvez créer un connecteur.
  • Sélectionnez Vérifier pour réexécuter le test de vérification afin de vous assurer que Cost Management peut collecter des données en utilisant les paramètres du connecteur.

Capture d’écran montrant les détails du connecteur AWS.

Configurer de groupes d’administration Azure

Vous devez placer vos abonnements Azure et vos comptes AWS liés dans le même groupe d’administration afin de créer un emplacement unique où vous pouvez voir les informations des fournisseurs de services inter-cloud. Si vous n’avez pas déjà configuré votre environnement Azure avec des groupes d’administration, consultez Configuration initiale des groupes d’administration.

Si vous voulez séparer les coûts, vous pouvez créer un groupe d’administration ne contenant que des comptes AWS liés.

Configurer un compte AWS consolidé

Le compte AWS consolidé combine la facturation et le paiement pour plusieurs comptes AWS. Il sert également de compte AWS lié. Vous pouvez visualiser les détails de votre compte consolidé AWS en utilisant le lien figurant dans la page du connecteur AWS.

Capture d’écran montrant les détails d’un compte consolidé AWS.

À partir de cette page, vous pouvez :

  • Sélectionner Mettre à jour pour mettre à jour en bloc l'association de comptes AWS liés avec un groupe d'administration.
  • Sélectionner Contrôle d'accès afin de définir l'attribution de rôle pour l’étendue.

Autorisations d'un compte AWS consolidé

Par défaut, les autorisations d’un compte AWS consolidé sont définies lors de la création du compte, selon les autorisations du connecteur AWS. Le créateur du connecteur est le propriétaire.

Vous gérez le niveau d'accès en utilisant la page Niveau d'accès du compte AWS consolidé. Cependant, les comptes AWS liés n'héritent pas des droits d'accès au compte AWS consolidé.

Configurer un compte AWS lié

les ressources AWS sont créées et gérées dans le compte AWS lié. Un compte lié agit également comme une limite de sécurité.

À partir de cette page, vous pouvez :

  • Sélectionner Mettre à jour pour mettre à jour l'association d’un compte AWS lié avec un groupe d'administration.
  • Sélectionner Contrôle d'accès afin de définir une attribution de rôle pour l’étendue.

Capture d’écran montrant la page Compte lié AWS.

Autorisations d'un compte AWS lié

Par défaut, les autorisations d’un compte AWS lié sont définies lors de la sa création, selon les autorisations du connecteur AWS. Le créateur du connecteur est le propriétaire. Vous gérez le niveau d'accès en utilisant la page Niveau d'accès du compte AWS lié. Les comptes AWS liés n'héritent pas des droits d'accès d’un compte AWS consolidé.

Les comptes AWS liés à AWS héritent toujours des autorisations du groupe d’administration auquel ils appartiennent.

Étapes suivantes