Bagikan melalui

Menyambungkan ke AWS dengan konektor multicloud di portal Azure

  • Artikel

Konektor multicloud yang diaktifkan oleh Azure Arc memungkinkan Anda menyambungkan sumber daya cloud publik non-Azure ke Azure dengan menggunakan portal Azure. Saat ini, lingkungan cloud publik AWS didukung.

Sebagai bagian dari menyambungkan akun AWS ke Azure, Anda menyebarkan templat CloudFormation ke akun AWS. Templat ini membuat semua sumber daya yang diperlukan untuk koneksi.

Prasyarat

Untuk menggunakan konektor multicloud, Anda memerlukan izin yang sesuai di AWS dan Azure.

Prasyarat AWS

Untuk membuat konektor dan menggunakan inventori multicloud, Anda memerlukan izin berikut di AWS:

  • AmazonS3FullAccess
  • AWSCloudFormationFullAccess
  • IAMFullAccess

Untuk onboarding Arc, ada lebih banyak prasyarat yang harus dipenuhi.

Izin solusi AWS

Saat Anda mengunggah templat CloudFormation, lebih banyak izin diminta, berdasarkan solusi yang Anda pilih:

  • Untuk Inventori, Anda dapat memilih izin Anda:

    1. Baca Global: Menyediakan akses baca-saja ke semua sumber daya di akun AWS. Saat layanan baru diperkenalkan, konektor dapat memindai sumber daya tersebut tanpa memerlukan templat CloudFormation yang diperbarui.

    2. Akses Hak Istimewa Terkecil: Menyediakan akses baca hanya ke sumber daya di bawah layanan yang dipilih. Jika Anda memilih untuk memindai lebih banyak sumber daya di masa mendatang, templat CloudFormation baru harus diunggah.

  • Untuk Arc Onboarding, layanan kami memerlukan akses TULIS EC2 untuk menginstal agen Azure Connected Machine.

Prasyarat Azure

Untuk menggunakan konektor multicloud dalam langganan Azure, Anda memerlukan peran bawaan Kontributor .

Jika ini pertama kalinya Anda menggunakan layanan, Anda perlu mendaftarkan penyedia sumber daya ini, yang memerlukan akses Kontributor pada langganan:

  • Microsoft.HybridCompute
  • Microsoft.HybridConnectivity
  • Microsoft.AwsConnector
  • Microsoft.Kubernetes

Catatan

Konektor multicloud dapat bekerja berdampingan dengan konektor AWS di Defender untuk Cloud. Jika Anda memilih, Anda dapat menggunakan kedua konektor ini.

Menambahkan cloud publik Anda di portal Azure

Untuk menambahkan cloud publik AWS Anda ke Azure, gunakan portal Azure untuk memasukkan detail dan membuat templat CloudFormation.

  1. Di portal Azure, navigasikan ke Azure Arc.

  2. Di bawah Manajemen, pilih Konektor multicloud (pratinjau).

  3. Di panel Konektor , pilih Buat.

  4. Di halaman Dasar:

    1. Pilih grup langganan dan sumber daya untuk membuat sumber daya konektor Anda.
    2. Masukkan nama unik untuk konektor dan pilih wilayah yang didukung.
    3. Berikan ID untuk akun AWS yang ingin Anda sambungkan, dan tunjukkan apakah itu satu akun atau akun organisasi.
    4. Pilih Selanjutnya.

  5. Pada halaman Solusi , pilih solusi mana yang ingin Anda gunakan dengan konektor ini dan konfigurasikan. Pilih Tambahkan untuk mengaktifkan Inventory, onboarding Arc, atau keduanya.

    Cuplikan layar memperlihatkan Solusi untuk konektor AWS di portal Azure.

    • Untuk Inventori, Anda dapat mengubah opsi berikut:

      1. Pilih apakah akan mengaktifkan Tambahkan semua layanan AWS yang didukung atau tidak. Secara default, opsi ini diaktifkan, sehingga semua layanan (sekarang tersedia dan layanan yang ditambahkan di masa mendatang) dipindai.

      2. Pilih Layanan AWS yang ingin Anda pindai dan impor sumber dayanya. Secara default, semua layanan yang tersedia dipilih.

      3. Pilih izin Anda. Jika Tambahkan semua layanan AWS yang didukung dicentang, Anda harus memiliki akses baca Global.

      4. Pilih apakah akan mengaktifkan sinkronisasi berkala atau tidak. Secara default, opsi ini diaktifkan sehingga konektor memindai akun AWS Anda secara teratur. Jika Anda menghapus centang kotak, akun AWS Anda hanya dipindai sekali.

      5. Jika Aktifkan sinkronisasi berkala dicentang, konfirmasi atau ubah Ulangi setiap pilihan untuk menentukan seberapa sering akun AWS Anda dipindai.

      6. Pilih apakah akan mengaktifkan Sertakan semua wilayah AWS yang didukung atau tidak. Dengan memilih opsi ini, semua wilayah AWS saat ini dan yang akan datang dipindai.

      7. Pilih wilayah mana yang akan dipindai sumber daya di akun AWS Anda. Secara default, semua wilayah yang tersedia dipilih. Jika Anda memilih Sertakan semua wilayah AWS yang didukung, semua wilayah harus dipilih.

      8. Setelah Anda selesai membuat pilihan, pilih Simpan untuk kembali ke halaman Solusi .

    • Untuk onboarding Arc:

      1. Pilih metode Konektivitas untuk menentukan apakah agen Connected Machine harus terhubung ke internet melalui titik akhir publik atau oleh server proksi. Jika Anda memilih Server proksi, berikan URL server Proksi tempat instans EC2 dapat tersambung.
      2. Pilih apakah akan mengaktifkan sinkronisasi berkala atau tidak. Secara default, opsi ini diaktifkan sehingga konektor memindai akun AWS Anda secara teratur. Jika Anda menghapus centang kotak, akun AWS Anda hanya dipindai sekali.
      3. Jika Aktifkan sinkronisasi berkala dicentang, konfirmasi atau ubah Ulangi setiap pilihan untuk menentukan seberapa sering akun AWS Anda dipindai.
      4. Pilih apakah akan mengaktifkan Sertakan semua wilayah AWS yang didukung atau tidak. Dengan memilih opsi ini, semua wilayah AWS saat ini dan yang akan datang dipindai.
      5. Pilih wilayah mana yang akan dipindai instans EC2 di akun AWS Anda. Secara default, semua wilayah yang tersedia dipilih. Jika Anda memilih Sertakan semua wilayah AWS yang didukung, semua wilayah harus dipilih.
      6. Pilih untuk memfilter instans EC2 menurut tag AWS. Jika Anda memasukkan nilai tag di sini, hanya instans EC2 yang berisi tag tersebut yang di-onboard ke Arc. Dengan membiarkan nilai ini kosong, semua Instans EC2 yang ditemukan di-onboarding ke Arc.

  6. Pada halaman Templat autentikasi, unduh templat CloudFormation yang akan Anda unggah ke AWS. Templat ini dibuat berdasarkan informasi yang Anda berikan di Dasar dan solusi yang Anda pilih. Anda dapat langsung mengunggah templat , atau menunggu hingga Anda selesai menambahkan cloud publik Anda.

  7. Pada halaman Tag , masukkan tag apa pun yang ingin Anda gunakan.

  8. Pada halaman Tinjau dan buat , konfirmasikan informasi Anda, lalu pilih Buat.

Jika Anda tidak mengunggah templat selama proses ini, ikuti langkah-langkah di bagian berikutnya untuk melakukannya.

Mengunggah templat CloudFormation ke AWS

Setelah menyimpan templat CloudFormation yang dihasilkan di bagian sebelumnya, Anda perlu mengunggahnya ke cloud publik AWS Anda. Jika Anda mengunggah templat sebelum selesai menyambungkan aws cloud di portal Azure, sumber daya AWS Anda akan segera dipindai. Jika Anda menyelesaikan proses Tambahkan cloud publik di portal Azure sebelum mengunggah templat, perlu waktu sedikit lebih lama untuk memindai sumber daya AWS Anda dan membuatnya tersedia di Azure.

Membuat tumpukan

Ikuti langkah-langkah ini untuk membuat tumpukan dan mengunggah templat Anda:

  1. Buka konsol AWS CloudFormation dan pilih Buat tumpukan.

  2. Pilih Templat sudah siap, lalu pilih Unggah file templat. Pilih Pilih file dan telusuri untuk memilih templat Anda. Kemudian pilih Berikutnya.

  3. Di Tentukan detail tumpukan, masukkan nama tumpukan.

    1. Jika Anda memilih solusi Arc Onboarding , isi detail berikut dalam parameter Stack:

      1. EC2SSMIAMRoleAutoAssignment: Menentukan apakah peran IAM yang digunakan untuk tugas SSM secara otomatis ditetapkan ke instans EC2. Secara default opsi ini diatur ke true, dan semua komputer EC2 yang ditemukan akan memiliki peran IAM yang ditetapkan. Jika Anda mengatur opsi ini ke false, Anda harus menetapkan peran IAM secara manual ke instans EC2 yang ingin Anda onboarding ke Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: Menentukan apakah Peran IAM EC2 yang digunakan untuk tugas SSM harus ditetapkan secara otomatis secara berkala. Secara default, opsi ini diatur untuk mengaktifkan, yang berarti bahwa setiap komputer EC2 yang ditemukan di masa mendatang akan memiliki peran IAM yang ditetapkan secara otomatis. Jika Anda mengatur opsi ini untuk menonaktifkan, Anda harus menetapkan peran IAM secara manual ke EC2 yang baru disebarkan yang ingin Anda onboarding ke Azure Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: Menentukan interval berkala untuk penugasan otomatis Peran IAM EC2 yang digunakan untuk tugas SSM (misalnya, 15 menit, 6 jam, atau 1 hari). Jika Anda mengatur EC2SSMIAMRoleAutoAssignment ke true dan EC2SSMIAMRoleAutoAssignmentSchedule untuk diaktifkan, Anda dapat memilih seberapa sering Anda ingin memindai instans EC2 baru untuk diberi peran IAM. Interval default adalah 1 hari.

      4. EC2SSMIAMRolePolicyUpdateAllowed: Menentukan apakah peran IAM EC2 yang ada yang digunakan untuk tugas SSM diizinkan untuk memperbarui dengan kebijakan izin yang diperlukan jika hilang. Secara default, opsi ini diatur ke true. Jika Anda memilih untuk mengatur ke false, Anda harus menambahkan izin peran IAM ini secara manual ke instans EC2.

    2. Jika tidak, biarkan opsi lain diatur ke pengaturan defaultnya dan pilih Berikutnya.

  4. Di Konfigurasikan opsi tumpukan, biarkan opsi diatur ke pengaturan defaultnya dan pilih Berikutnya.

  5. Di Tinjau dan buat, konfirmasikan bahwa informasi sudah benar, pilih kotak centang pengakuan, lalu pilih Kirim.

Membuat StackSet

Jika akun AWS Anda adalah akun organisasi, Anda juga perlu membuat StackSet dan mengunggah templat Anda lagi. Untuk melakukannya:

  1. Buka konsol AWS CloudFormation dan pilih StackSets, lalu pilih Buat StackSet.

  2. Pilih Templat sudah siap, lalu pilih Unggah file templat. Pilih Pilih file dan telusuri untuk memilih templat Anda. Kemudian pilih Berikutnya.

  3. Di Tentukan detail tumpukan, masukkan AzureArcMultiCloudStackset sebagai nama StackSet

    1. Jika Anda memilih solusi Arc Onboarding , isi detail berikut dalam parameter Stack:

      1. EC2SSMIAMRoleAutoAssignment: Menentukan apakah peran IAM yang digunakan untuk tugas SSM secara otomatis ditetapkan ke instans EC2. Secara default opsi ini diatur ke true, dan semua komputer EC2 yang ditemukan akan memiliki peran IAM yang ditetapkan. Jika Anda mengatur opsi ini ke false, Anda harus menetapkan peran IAM secara manual ke instans EC2 yang ingin Anda onboarding ke Arc.

      2. EC2SSMIAMRoleAutoAssignmentSchedule: Menentukan apakah Peran IAM EC2 yang digunakan untuk tugas SSM harus ditetapkan secara otomatis secara berkala. Secara default, opsi ini diatur untuk mengaktifkan, yang berarti bahwa setiap komputer EC2 yang ditemukan di masa mendatang akan memiliki peran IAM yang ditetapkan secara otomatis. Jika Anda mengatur opsi ini untuk menonaktifkan, Anda harus menetapkan peran IAM secara manual ke instans EC2 yang baru disebarkan yang ingin Anda onboarding ke Arc.

      3. EC2SSMIAMRoleAutoAssignmentScheduleInterval: Menentukan interval berkala untuk penugasan otomatis Peran IAM EC2 yang digunakan untuk tugas SSM (seperti, 15 menit, 6 jam, atau 1 hari). Jika Anda mengatur EC2SSMIAMRoleAutoAssignment ke true dan EC2SSMIAMRoleAutoAssignmentSchedule untuk diaktifkan, Anda dapat memilih seberapa sering Anda ingin memindai instans EC2 baru untuk diberi peran IAM. Interval default adalah 1 hari.

      4. EC2SSMIAMRolePolicyUpdateAllowed: Menentukan apakah peran IAM EC2 yang ada yang digunakan untuk tugas SSM diizinkan untuk memperbarui dengan kebijakan izin yang diperlukan jika hilang. Secara default, opsi ini diatur ke true. Jika Anda memilih untuk mengatur ke false, Anda harus menambahkan izin peran IAM ini secara manual ke instans EC2.

    2. Jika tidak, biarkan opsi lain diatur ke pengaturan defaultnya dan pilih Berikutnya.

  4. Di Konfigurasikan opsi tumpukan, biarkan opsi diatur ke pengaturan defaultnya dan pilih Berikutnya.

  5. Di Atur opsi penyebaran, masukkan ID untuk akun AWS tempat StackSet akan disebarkan, dan pilih wilayah AWS apa pun untuk menyebarkan tumpukan. Biarkan opsi lain diatur ke pengaturan defaultnya dan pilih Berikutnya.

  6. Di Tinjau, konfirmasikan bahwa informasi sudah benar, pilih kotak centang pengakuan, lalu pilih Kirim.

Mengonfirmasi penerapan

Setelah Anda menyelesaikan opsi Tambahkan cloud publik di Azure dan mengunggah templat Anda ke AWS, konektor dan solusi yang Anda pilih akan dibuat. Rata-rata, dibutuhkan sekitar satu jam agar sumber daya AWS Anda tersedia di Azure. Jika Anda mengunggah templat setelah membuat cloud publik di Azure, mungkin perlu waktu lebih lama sebelum Anda melihat sumber daya AWS.

Sumber daya AWS disimpan dalam grup sumber daya menggunakan konvensi aws_yourAwsAccountIdpenamaan , dengan izin yang diwarisi dari langganannya. Pemindaian berjalan secara teratur untuk memperbarui sumber daya ini, berdasarkan pilihan Aktifkan sinkronisasi berkala Anda.

Langkah berikutnya

  • Kueri inventori Anda dengan solusi Inventori konektor multicloud.
  • Pelajari cara menggunakan solusi onboarding Arc konektor multicloud.