Distribuire il servizio Scoperta dell'archiviazione di Azure

Per distribuire il servizio di Individuazione dello Storage di Azure, è necessario creare una risorsa dell'area di lavoro Discovery in uno dei gruppi di risorse. Con questa risorsa si definiscono le risorse di archiviazione che si desidera coprire nel tenant di Microsoft Entra e come segmentare la creazione di report per tali risorse. L'area di lavoro offre report predefiniti nel portale di Azure che è possibile usare per recuperare le informazioni dettagliate necessarie sulle risorse di archiviazione.

Seguire la procedura descritta in questo articolo per creare una risorsa dell'area di lavoro di Scoperta Archiviazione di Azure.

Creare un'area di lavoro di scoperta archiviazione

È possibile creare un'area di lavoro di scoperta archiviazione usando il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Portale di Azure

Creare una risorsa dell'area di lavoro di Scoperta Archiviazione di Azure nel portale di Azure selezionando Crea come illustrato nell'immagine seguente.

Scegliere la sottoscrizione e il gruppo di risorse in cui creare l'area di lavoro di scoperta. La tabella seguente descrive i singoli elementi.

Elemento	Descrizione
Name	Nome della risorsa dell'area di lavoro Scoperta.
Description	Opzionale. Descrizione della risorsa dell'area di lavoro Scoperta.
Region	Area di Azure in cui viene creata la risorsa Scoperta. 1
Pricing plan	Piano tariffario di Scoperta Archiviazione. 2

¹ Per informazioni sulle aree coperte, vedere Aree dell'area di lavoro di Scoperta Archiviazione. ² Per informazioni sul piano tariffario di Scoperta Archiviazione, vedere Informazioni sui prezzi di Scoperta Archiviazione.

Definire workspaceRoots

workspaceRoot specifica gli identificatori di risorsa di Azure di primo livello in cui Scoperta Archiviazione avvia l'analisi degli account di archiviazione. Questi identificatori sono in genere sottoscrizioni o gruppi di risorse e fungono da radice del processo di scoperta. WorkspaceRoots definisce l'ambito e i limiti generali del patrimonio di Azure per l'analisi.

Selezionare le sottoscrizioni e/o i gruppi di risorse da includere nell'area di lavoro.

Annotazioni

• Assicurarsi che all'utente o all'entità servizio che distribuisce l'area di lavoro venga concesso almeno l'accesso Lettore a ogni radice specificata.
• Fino a 100 risorse: le sottoscrizioni e/o i gruppi di risorse possono essere incluse in un'unica area di lavoro.
• È possibile aumentare il limite predefinito di 100 risorse per area di lavoro. Contattare il supporto tecnico di Azure. Specificare il tenantID, il SubscriptionID in cui si desidera aumentare questo limite.

Dopo aver aggiunto le sottoscrizioni o i gruppi di risorse all'area di lavoro, il servizio esegue un controllo di accesso per verificare che l'utente disponga Microsoft.Storage/storageAccounts/read delle risorse aggiunte. L'immagine seguente fornisce un esempio di errore di controllo di accesso con il messaggio di stato associato.

Se Microsoft.Storage/storageAccounts/read non è presente sulle risorse aggiunte, rimuovere la risorsa da workSpaceRoots per procedere con la creazione dell'area di lavoro o risolvere il problema di accesso e riprovare.

Creazione di un ambito

Gli ambiti sono raggruppamenti logici di account di archiviazione all'interno di workspaceRoots definito. Gli ambiti consentono di filtrare e organizzare i dati usando tag e tipi di risorse, abilitando informazioni dettagliate mirate. Ad esempio, è possibile creare ambiti per singoli reparti, ambienti o zone di conformità.

Importante

Un ambito predefinito viene aggiunto automaticamente. Include tutti gli account di archiviazione all'interno di sottoscrizioni o gruppi di risorse aggiunti in workspaceRoots.

Facoltativamente, è possibile aggiungere tag a questa risorsa dell'area di lavoro. Selezionare quindi Rivedi e Crea. Se la convalida dell'accesso è ancora in esecuzione, non è ancora possibile creare la risorsa dell'area di lavoro. Attendere il completamento del controllo, correggere eventuali problemi, quindi confermare selezionando Crea.

Annotazioni

La creazione delle risorse di individuazione ha esito negativo se i controlli di accesso per qualsiasi sottoscrizione, gruppo di risorse o tenant non hanno esito positivo.

Al termine dei controlli di accesso, la risorsa può essere distribuita come illustrato nell'immagine di esempio seguente.

Azure PowerShell

Creare una risorsa dell'area di lavoro di Scoperta Archiviazione di Azure nel portale di Azure modificando le variabili nello script di PowerShell seguente per includere il gruppo di risorse, il nome dell'area di lavoro e la posizione. Verificare che i valori siano corretti e quindi eseguire lo script nella console di Azure PowerShell.

# First, set variables for the resources
$resGroupName   = "myResourceGroup"
$workSpaceName  = "myStorageDiscoveryWorkspace"
$location       = "East US"
$DiscoveryScopeLevel1 = "myScopeLevel1"
$DiscoveryScopeLevel2 = "myScopeLevel2"

# Next, prepare a DiscoveryScope object
$scope1 =  New-AzStorageDiscoveryScopeObject -DisplayName "test1" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest1" -Tag @{"tag1" = "value1"; "tag2" = "value2" }
$scope2 =  New-AzStorageDiscoveryScopeObject -DisplayName "test2" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest2" -Tag @{"tag3" = "value3" }

# Finally, create the discovery workspace
New-AzStorageDiscoveryWorkspace -Name $workSpaceName  -ResourceGroupName $resGroupName `
-Location $location -Description 123 -WorkspaceRoot $DiscoveryScopeLevel1 `
-Sku Standard   -Scope $scope1

CLI di Azure

Creare una risorsa per l'area di lavoro Scoperta Archiviazione di Azure usando l'interfaccia della riga di comando.

az storage-discovery workspace create \
            --resource-group <your-resource-group> \
            --name <your-workspace-name> \
            --location <azure-region> \
            --workspace-roots "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group>" \
            --scopes '[{"displayName":"basic","resourceTypes":["Microsoft.Storage/storageAccounts"]}]' \
            --sku Standard \
            --description "Optional description"

Parametri obbligatori

Parametro	Descrizione
gruppo di risorse	Gruppo di risorse in cui viene creata l'area di lavoro.
nome	Nome dell'area di lavoro.
ubicazione	Area di Azure per la distribuzione.
radici dell'ambiente di lavoro	La radice dell'area di lavoro definisce le risorse di archiviazione per cui ottenere informazioni dettagliate. Questo string[] può contenere una combinazione di ID sottoscrizione e ID gruppo di risorse. È possibile combinare e associare questi tipi di risorse. L'identità con cui si distribuisce l'area di lavoro deve avere le autorizzazioni per tutte le risorse elencate al momento della distribuzione.
ambiti	È possibile creare diversi ambiti in un'area di lavoro. Un ambito consente di filtrare le risorse di archiviazione coperte dall'area di lavoro e ottenere report diversi per ognuno di questi ambiti. Il filtraggio si basa sui tag delle risorse ARM nelle risorse di archiviazione. Questa proprietà prevede un oggetto JSON contenente sezioni per combinazioni di tag key name : value o soltanto tag key names. Quando le risorse di archiviazione hanno tag di risorsa ARM corrispondenti, vengono inclusi in questo ambito.
sku	Piano tariffario (gratuito o standard).

Parametri facoltativi

Parametro	Descrizione
descrizione	Metadati facoltativi per l'area di lavoro.

Annotazioni

La visualizzazione delle metriche nei report può richiedere fino a 24 ore dopo la creazione dell'ambito.