Che cos'è Azure Resource Graph?

  • Articolo

Azure Resource Graph è un servizio di Azure che consente di estendere la gestione delle risorse di Azure fornendo una funzione di esplorazione delle risorse efficiente e ad alte prestazioni con la possibilità di eseguire query su larga scala in un determinato set di sottoscrizioni in modo da poter controllare l'ambiente efficacemente. Queste query offrono le funzionalità seguenti:

  • Eseguire query su risorse con filtri, raggruppamenti e ordinamento complessi in base alle proprietà delle risorse.
  • Esplorare le risorse in modo iterativo in base ai requisiti di governance.
  • Valutare l'effetto dell'applicazione di criteri in un ambiente cloud vasto.
  • Modifiche alle query apportate alle proprietà delle risorse.

In questa documentazione si esaminano in dettaglio ogni funzionalità.

Nota

Azure Resource Graph supporta la barra di ricerca di portale di Azure, la nuova esperienza Esplora tutte le risorse e Criteri di Azure diff dell'oggetto visivo Cronologiamodifiche. Il suo scopo è aiutare i clienti a gestire ambienti su larga scala.

Nota

Questo servizio supporta Azure Lighthouse, che consente ai provider di servizi di accedere al proprio tenant per gestire le sottoscrizioni e i gruppi di risorse che i clienti hanno delegato.

Integrazione di Resource Graph in Azure Resource Manager

Azure Resource Manager supporta attualmente le query sui campi delle risorse di base, in particolare:

  • Nome risorsa
  • ID
  • Type
  • Gruppo di risorse
  • Abbonamento
  • Ufficio

Azure Resource Manager offre anche funzionalità per chiamare singoli provider di risorse per proprietà dettagliate una risorsa alla volta.

Con Azure Resource Graph, è possibile accedere a queste proprietà restituite dai provider di risorse senza la necessità di effettuare chiamate singole per ogni provider di risorse. Per un elenco dei tipi di risorse supportati, vedere la tabella e le informazioni di riferimento per i tipi di risorse. Un modo alternativo per visualizzare i tipi di risorse supportati è tramite il browser di schemi di Azure Resource Graph Explorer.

Con Azure Resource Graph è possibile:

  • Accedere alle proprietà restituite dai provider di risorse senza la necessità di effettuare chiamate singole per ogni provider di risorse.
  • Visualizzare gli ultimi 14 giorni di modifiche alla configurazione delle risorse per vedere quali proprietà sono state modificate e quando.

Nota

In quanto funzionalità di anteprima, per alcuni oggetti type sono disponibili ulteriori proprietà non di Resource Manager. Per altre informazioni, vedere Proprietà estese.

Come si tiene aggiornato Resource Graph

Quando una risorsa di Azure viene aggiornata, Azure Resource Manager invia una notifica a Azure Resource Graph sulla modifica. Azure Resource Graph aggiorna quindi il database. Azure Resource Graph esegue anche una normale analisi completa. Questa analisi garantisce che i dati di Azure Resource Graph siano aggiornati in caso di mancata notifica o quando una risorsa viene aggiornata all'esterno di Azure Resource Manager.

Nota

Resource Graph usa un GET oggetto per l'API (Application Programming Interface) non di anteprima più recente di ogni provider di risorse per raccogliere proprietà e valori. Di conseguenza, la proprietà prevista potrebbe non essere disponibile. In alcuni casi, la versione dell'API usata è stata sottoposta a override per fornire le proprietà più recenti o più usate nei risultati. Per un elenco completo nell'ambiente usato, vedere l'esempio in Mostrare la versione dell'API per ogni tipo di risorsa.

Il linguaggio di query

Ora che si conosce meglio Azure Resource Graph, è possibile approfondire la creazione di query.

È importante comprendere che il linguaggio di query di Azure Resource Graph si basa sul Linguaggio di query Kusto (KQL) usato da Azure Esplora dati.

In primo luogo, per informazioni dettagliate sulle operazioni e le funzioni che possono essere usate con Azure Resource Graph, vedere l'articolo sul linguaggio di query di Azure Resource Graph. Per esaminare le risorse, vedere l'articolo sull'esplorazione delle risorse.

Autorizzazioni in Azure Resource Graph

Per usare Resource Graph, è necessario disporre dei diritti appropriati nel controllo degli accessi in base al ruolo di Azure con almeno read l'accesso alle risorse da eseguire. Non vengono restituiti risultati se non si dispone almeno read delle autorizzazioni per l'oggetto o il gruppo di oggetti di Azure.

Nota

Resource Graph usa le sottoscrizioni disponibili a un'entità di sicurezza durante l'accesso. Per visualizzare le risorse di una nuova sottoscrizione aggiunta durante una sessione attiva, l'entità deve aggiornare il contesto. Questa azione viene eseguita automaticamente quando ci si disconnette e si accede nuovamente.

L'interfaccia della riga di comando di Azure e Azure PowerShell usano sottoscrizioni accessibili all'utente. Quando si usa un'API REST, l'elenco di sottoscrizioni viene fornito dall'utente. Se l'utente ha accesso a una qualsiasi delle sottoscrizioni dell'elenco, i risultati della query vengono restituiti per le sottoscrizioni accessibili all'utente. Questo comportamento equivale a quando si chiama Gruppi di risorse - Elenco perché si ottengono gruppi di risorse a cui è possibile accedere, senza alcuna indicazione che il risultato potrebbe essere parziale. Se l'elenco non include presenti sottoscrizioni per cui l'utente dispone dei diritti appropriati, la risposta è 403 (accesso negato).

Nota

Nella versione 2020-04-01-previewdell'API REST di anteprima è possibile omettere l'elenco di sottoscrizioni. Quando entrambe le proprietà subscriptions e managementGroupId non sono definite nella richiesta, l'ambito viene impostato sul tenant. Per altre informazioni, vedere Ambito della query.

Limitazione

Come servizio gratuito, le query a Resource Graph sono limitate per offrire l'esperienza e i tempi di risposta migliori per tutti i clienti. Se l'organizzazione vuole usare l'API Resource Graph per query su larga scala e frequenti, usare il portale Feedback dalla pagina del portale di Resource Graph. Fornire il proprio caso aziendale e selezionare la casella di controllo Microsoft per inviare un messaggio di posta elettronica sul feedback per consentire al team di contattare l'utente.

Resource Graph applica limitazioni alle query a livello di utente. La risposta del servizio contiene le intestazioni HTTP seguenti:

  • x-ms-user-quota-remaining (int): quota di risorse rimanente per l'utente. Questo valore è associato al conteggio delle query.
  • x-ms-user-quota-resets-after (hh:mm:ss): durata dell'intervallo di tempo fino a quando non viene reimpostato il consumo di quota di un utente

Per altre informazioni, vedere Guidance for throttled requests.

Esecuzione della prima query

Azure Resource Graph Explorer, parte del portale di Azure, consente l'esecuzione di query di Resource Graph direttamente in portale di Azure. Aggiungere i risultati come grafici dinamici per fornire informazioni dinamiche in tempo reale al flusso di lavoro del portale. Per altre informazioni, vedere Prima query con Azure Resource Graph Explorer.

Resource Graph supporta anche l'interfaccia della riga di comando di Azure, Azure PowerShell e l'API REST. La query è strutturata nello stesso modo per ogni linguaggio. Informazioni su come abilitare Resource Graph con:

Integrazione degli avvisi con Log Analytics

Nota

L'integrazione degli avvisi di Azure Resource Graph con Log Analytics è disponibile in anteprima pubblica.

È possibile creare regole di avviso usando le query graph delle risorse di Azure o l'integrazione di Log Analytics con le query graph delle risorse di Azure tramite Monitoraggio di Azure. Entrambi i metodi possono essere usati per creare avvisi per le risorse di Azure. Per esempi, vedere Avvio rapido: Creare avvisi con Azure Resource Graph e Log Analytics.

Eseguire query con il connettore Power BI

Nota

Il connettore Power BI di Azure Resource Graph è disponibile in anteprima pubblica.

Il connettore Power BI di Azure Resource Graph esegue query a livello di tenant, ma è possibile modificare l'ambito in sottoscrizione o gruppo di gestione. Il connettore Power BI ha un'impostazione facoltativa per restituire tutti i record se i risultati della query hanno più di 1.000 record. Per altre informazioni, vedere Avvio rapido: Eseguire query con il connettore Power BI di Azure Resource Graph.

Passaggi successivi