Установка и настройка интеграции отчетов о затратах и использовании AWS

Примечание.

Подключение or для AWS в службе "Управление затратами" выходит на пенсию 31 марта 2025 года. Пользователи должны рассмотреть альтернативные решения для отчетов об управлении затратами AWS. 31 марта 2024 г. Azure отключит возможность добавления новых Подключение or для AWS для всех клиентов. Дополнительные сведения см. в разделе "Выход из эксплуатации" соединителя Amazon Web Services (AWS).

После интеграции отчетов о затратах и использовании Amazon Web Services (AWS) вы сможете отслеживать и контролировать расходы на AWS в службе "Управление затратами". Интеграция позволяет получить единое расположение на портале Azure, где вы будете отслеживать и контролировать расходы для Azure и AWS. В этой статье объясняется, как установить и настроить интеграцию, чтобы вы могли использовать функции Управления затратами для анализа расходов и просмотра бюджетов.

Чтобы получить определения отчетов и скачать CSV-файлы GZIP-отчетов, служба "Управление затратами Azure" обрабатывает хранящийся в контейнере S3 отчет о затратах и использовании AWS, используя учетные данные для доступа к AWS.

Создание отчета о затратах и использовании в AWS

Для получения данных о затратах и их обработки в AWS рекомендуется применять отчет о затратах и использовании. Межоблачный соединитель для Управления затратами поддерживает отчеты о затратах и использовании, настроенные на уровне (консолидированной) учетной записи управления. Дополнительные сведения см. в документации по отчетам о затратах и использовании в AWS.

Для создания отчета о затратах и использовании см. страницу Cost & Usage Reports (Отчеты о затратах и использовании) в консоли Управления затратами и выставления счетов в AWS, выполнив следующие шаги.

1. Войдите в консоль управления AWS и откройте консоль Управления затратами и выставления счетов.
2. В области навигации щелкните Cost & Usage Reports (Отчеты о затратах и использовании).
3. Щелкните Create report (Создать отчет).
4. Заполните поле Report name (Имя отчета).
5. В разделе Additional report details (Дополнительные сведения об отчете) выберите Include resource IDs (Включить идентификаторы ресурсов).
6. В разделе Data refresh settings (Параметры обновления данных) укажите, следует ли обновлять отчет о затратах и использовании AWS, если AWS применяет возмещения, кредиты или плату за поддержку к вашей учетной записи после оформления счета. Если отчет обновляется, в Amazon S3 загружается новый отчет. Рекомендуется оставить параметры установленными.
7. Выберите Далее.
8. Для контейнера S3 щелкните Configure (Настройка).
9. В диалоговом окне настройки контейнера S3 введите имя контейнера и регион, в котором нужно создать новый контейнер, и щелкните Next (Далее).
10. Установите флажок I have confirmed that this policy is correct (Подтверждаю правильность политики), а затем нажмите кнопку Save (Сохранить).
11. (Дополнительно) Введите префикс пути отчета, который необходимо добавлять в начало имени отчета.
    Если пропущено, префикс по умолчанию — это имя, указанное для отчета. Для диапазона дат действует такой формат: /report-name/date-range/.
12. Для параметра Time unit (Единицы времени) выберите Hourly (Ежечасно).
13. Для параметра Report versioning (Управление версиями отчетов) выберите, должна ли каждая версия отчета перезаписывать предыдущую или требуются отдельные новые отчеты.
14. Параметр Enable data integration for (Включить интеграцию данных для) не нужно устанавливать.
15. В поле Compression (Сжатие) выберите значение GZIP.
16. Выберите Далее.
17. После просмотра параметров отчета нажмите кнопку "Рецензирование" и "Завершить".
    Запишите имя отчета. Вы используете его в последующих шагах.

Чтобы начать доставку отчетов в ваш контейнер Amazon S3, AWS может понадобиться до 24 часов. После начала доставки AWS обновляет файлы отчетов о затратах и использовании AWS по крайней мере один раз в день. Вы можете продолжить настройку среды AWS, не дожидаясь начала доставки.

Примечание.

Отчеты о затратах и использовании, настроенные на уровне (связанной) учетной записи участника, в настоящее время не поддерживаются.

Создание политики и роли в AWS

Служба "Управление затратами" обращается к контейнеру S3, в котором несколько раз в день размещается отчет о затратах и использовании. Службе требуется доступ к учетным данным для проверки новых данных. Вам необходимо создать роль и политику в AWS, чтобы разрешить к ним доступ службе "Управление затратами".

Чтобы включить доступ на основе ролей к учетной записи AWS в Управлении затратами, создается роль в консоли AWS. В консоли AWS необходимо получить ARN роли и внешний идентификатор. Позже вы используете их на странице создания соединителя AWS в службе "Управление затратами".

Использование мастера создания политики

1. Войдите в консоль AWS и выберите службы.
2. В списке служб выберите IAM.
3. Выберите Политики.
4. ВыберитеCreate policy (Создать политику).
5. Щелкните Choose a service (Выбрать службу).

Настройка разрешений для отчета о затратах и использовании

1. Введите Cost and Usage Report (Отчет о затратах и использовании).
2. Выберите Access level (Уровень доступа)>Чтение (Read)>DescribeReportDefinitions. Этот шаг позволяет службе "Управление затратами" узнать, какие отчеты о затратах и использовании определены и соответствуют ли они необходимым условиям определения отчетов.
3. Нажмите кнопку "Добавить дополнительные разрешения".

Настройка разрешения для контейнера И объектов S3

1. Щелкните Choose a service (Выбрать службу).
2. Введите S3.
3. Выберите Access level (Уровень доступа)>List (Список)>ListBucket. Вы получите список объектов в контейнере S3.
4. Выберите Access level (Уровень доступа)>Read (Чтение)>GetObject. Это действие позволит скачать файлы выставления счетов.
5. Выберите "Определенные ресурсы>".
6. В контейнере выберите ссылку "Добавить ARNs" , чтобы открыть другое окно.
7. В имени контейнера ресурсов введите контейнер, используемый для хранения файлов CUR.
8. Выберите " Добавить ARN".
9. В объекте выберите Any.
10. Нажмите кнопку "Добавить дополнительные разрешения".

Настройка разрешения для Обозреватель затрат

1. Щелкните Choose a service (Выбрать службу).
2. Введите Cost Explorer Service (Служба "Анализатор затрат").
3. Щелкните All Cost Explorer Service actions (ce:*) (Все действия службы "Анализатор затрат" (ce:*)). Это действие проверяет правильность коллекции.
4. Нажмите кнопку "Добавить дополнительные разрешения".

Добавление разрешения для организаций AWS

1. Введите Organizations (Организации).
2. Выберите Access level (Уровень доступа)>List (Список)>ListAccounts. Вы получите имена учетных записей.
3. Нажмите кнопку "Добавить дополнительные разрешения".

Настройка разрешений для политик

1. Введите IAM.
2. Выберите Access level (Уровень доступа) > List (список)> ListAttachedRolePolicies и ListPolicyVersions и ListRoles.
3. Выберите Access level (Уровень доступа) > Read (Чтение) >GetPolicyVersion.
4. Выберите Resources (Ресурсы) > Policy (Политика), а затем выберите Any (Любая). Эти действия позволяют проверить, что соединителю были предоставлены только минимальные необходимые разрешения.
5. Выберите Далее.

Проверка и создание

1. Введите имя новой политики в поле Review Policy (Политика проверки). Убедитесь, что вы ввели правильные сведения.
2. Добавление тегов. Вы можете ввести теги, которые вы хотите использовать или пропустить этот шаг. Этот шаг не требуется для создания соединителя в управлении затратами.
3. Нажмите кнопку "Создать политику ", чтобы завершить эту процедуру.

Политика JSON должна быть аналогичной примеру ниже. Замените bucketname именем своего контейнера S3, accountname — номером вашей учетной записи, а rolename — именем созданной роли.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "iam:ListRoles",
                "ce:*",
                "cur:DescribeReportDefinitions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "iam:GetPolicyVersion",
                "iam:ListPolicyVersions",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:s3:::bucketname",
                "arn:aws:s3:::bucketname/*",
                "arn:aws:iam::accountnumber:policy/*",
                "arn:aws:iam::accountnumber:role/rolename"
            ]
        }
    ]
}

Использование мастера создания новой роли

1. Войдите в консоль AWS и выберите Services (Службы).
2. В списке служб выберите IAM.
3. Щелкните Roles (Роли), а затем Create Role (Создать роль).
4. На странице Выбор доверенной сущности выберите учетную запись AWS, а затем в разделе Учетная запись AWS выберите Другую учетную запись AWS.
5. В поле Идентификатор учетной записи введите 432263259397.
6. В разделе Параметры установите флажок (Требовать внешний идентификатор рекомендуется, если сторонний производитель предполагает эту роль).
7. В поле Внешний идентификатор введите этот идентификатор, который является общим секретным кодом для роли AWS и службы "Управление затратами". Обратите внимание на внешний идентификатор, так как он используется на странице "Новый Подключение or" в разделе "Управление затратами". Корпорация Майкрософт рекомендует придерживаться строгой политики секретного кода при вводе внешнего идентификатора. Внешний идентификатор должен соответствовать ограничениям AWS:
   • Тип: строка
   • Ограничения длины: минимальная длина 2. Максимальная длина 1224.
   • Должен соответствовать шаблону регулярных выражений: [\w+=,.@: /-]*

   Примечание.

   Не меняйте параметр Require MFA (Требовать MFA). Флажок должен оставаться неустановленным.

8. Выберите Далее.
9. На панели поиска найдите новую политику и выберите ее.
10. Выберите Далее.
11. В поле "Сведения о роли" введите имя роли. Убедитесь, что вы ввели правильные сведения. Обратите внимание, что имя введено, так как оно используется позже при настройке соединителя управления затратами.
12. При желании добавьте теги. Вы можете ввести любые теги, например или пропустить этот шаг. Этот шаг не требуется для создания соединителя в управлении затратами.
13. Щелкните Create Role (Создать роль).

Настройка нового соединителя для AWS в Azure

Используйте следующие сведения, чтобы создать соединитель AWS и начать мониторинг затрат AWS.

Примечание.

Соединитель для AWS остается активным после окончания пробного периода, если во время первоначальной настройки вы включили автоматическое продление. В противном случае соединитель отключается по завершении пробного периода. Если соединитель не включить снова в течение трех месяцев, его данные полностью удаляются. После этого невозможно повторно активировать то же подключение. Чтобы задать вопрос об отключенном соединителе или установке подключения после удаления, создайте запрос на поддержку на портале Azure.

Необходимые компоненты

• Убедитесь, что у вас есть по меньшей мере одна группа управления. Чтобы связать подписку со службой AWS, требуется группа управления. Дополнительные сведения о создании группы управления см. в статье Создание группы управления в Azure.
• Убедитесь, что у вас есть права администратора подписки.
• Завершите настройку, необходимую для нового соединителя AWS, как описано в разделе Создание отчета о затратах и использовании в AWS.

Создание нового соединителя

1. Войдите на портал Azure.
2. Перейдите к элементу Управление затратами + выставление счетов и при необходимости выберите область выставления счетов.
3. Выберите Анализ затрат, а затем выберите Параметры.
4. Выберите Соединители для AWS.
5. Выберите Добавить соединитель.
6. На странице Создание соединителя в поле Отображаемое имя введите имя соединителя.
   
7. При необходимости выберите группу управления по умолчанию. Он хранит все обнаруженные связанные учетные записи. Группу можно настроить позже.
8. В разделе Выставление счетов выберите для параметра Автоматическое продление значение Вкл., чтобы настроить непрерывную операцию. Если выбран автоматический параметр, необходимо выбрать подписку для выставления счетов.
9. В поле ARN роли введите значение, которое использовалось при настройке роли в AWS.
10. В поле Внешний идентификатор введите значение, которое использовалось при настройке роли в AWS.
11. В поле Имя отчета введите имя, созданное в AWS.
12. Щелкните Далее, а затем Создать.

Новые области AWS, консолидированная учетная запись AWS, связанные учетные записи AWS и их данные о затратах могут отобразиться через несколько часов.

После создания соединителя рекомендуем назначить ему контроль доступа. Пользователям назначаются разрешения для недавно обнаруженных область: консолидированной учетной записи AWS и связанных учетных записей AWS. Пользователь, создающий соединитель, является владельцем соединителя, объединенной учетной записи и всех связанных учетных записей.

Назначение разрешений соединителя пользователям после обнаружения не приводит к назначению разрешений для существующих областей AWS. Вместо этого разрешения назначаются только новым связанным учетным записям.

Другие действия

• Настройте группы управления, если это еще не сделано.
• Убедитесь, что в средство выбора области добавлены новые области. Щелкните Обновить, чтобы просмотреть последние данные.
• На странице Облачные соединители щелкните соединитель, а затем Перейти к учетной записи выставления счетов, чтобы назначить связанную учетную запись группам управления.

Примечание.

В настоящее время группы управления не поддерживаются для клиентов с Клиентским соглашением Майкрософт (MCA). Клиенты с MCA могут создать соединитель и просматривать свои данные AWS. Но они не могут одновременно просматривать свои затраты на Azure и AWS в группе управления.

Управление соединителями AWS

При выборе соединителя на странице Соединители для AWS можно выполнить следующие действия:

• Щелкните Перейти к учетной записи выставления счетов, чтобы просмотреть сведения о консолидированной учетной записи AWS.
• Щелкните Контроль доступа, чтобы настроить управление назначением ролей для соединителя.
• Щелкните Изменить, чтобы обновить соединитель. Вы не можете изменить номер учетной записи AWS, так как он используется в ARN роли. Но можно создать другой соединитель.
• Щелкните Проверить для повторного запуска проверочного теста, чтобы убедиться, что служба "Управление затратами" может получать данные, используя параметры соединителя.

Настройка групп управления Azure

Разместите подписки Azure и связанные учетные записи AWS в одной группе управления, чтобы создать единое расположение, в котором можно просмотреть сведения о поставщике в нескольких облачных службах. Если вы хотите настроить среду Azure с группами управления, ознакомьтесь с начальной настройкой групп управления.

Если вы хотите разделить затраты, можно создать группу управления, в которой будут только связанные учетные записи AWS.

Настройка консолидированной учетной записи AWS

В консолидированной учетной записи AWS объединяется выставление счетов и оплата для нескольких учетных записей AWS. Она также служит связанной учетной записью AWS. Вы можете просматривать сведения для своей консолидированной учетной записи AWS, используя ссылку на странице соединителя AWS.

На этой странице можно выполнить следующие действия:

• Щелкните Update (Обновить), чтобы выполнить массовое обновление связанных учетных записей AWS для группы управления.
• Щелкните Access Control (Контроль доступа), чтобы задать назначение ролей для области.

Разрешения для консолидированной учетной записи AWS

По умолчанию разрешения для объединенной учетной записи AWS задаются при создании учетной записи на основе разрешений соединителя AWS. Создатель соединителя является владельцем.

Управление уровнем доступа осуществляется на странице Access Level (Уровень доступа) в консолидированной учетной записи AWS. Но связанные учетные записи AWS не наследуют разрешения консолидированной учетной записи AWS.

Настройка связанной учетной записи AWS

Связанная учетная запись AWS — это место, где создаются ресурсы AWS и осуществляется управление ими. Связанная учетная запись также выступает в качестве границы безопасности.

На этой странице можно выполнить следующие действия.

• Щелкните Update (Обновить), чтобы обновить связывание учетной записи AWS с группой управления.
• Щелкните Access Control (Контроль доступа), чтобы задать назначение ролей для области.

Разрешения для связанной учетной записи AWS

По умолчанию разрешения для связанной учетной записи AWS задаются при создании на основе разрешений соединителя AWS. Создатель соединителя является владельцем. Управление уровнем доступа осуществляется на странице Access Level (Уровень доступа) связанной учетной записи AWS. Связанные учетные записи AWS не наследуют разрешения от консолидированной учетной записи AWS.

Связанные учетные записи AWS всегда наследуют разрешения от группы управления, к которой они принадлежат.

Следующие шаги

• Теперь, когда вы настроили и настроили интеграцию отчетов о затратах и использовании AWS, перейдите к управлению затратами и использованием AWS.
• Если вы не знакомы с анализом затрат, см. это краткое руководство.
• Если вы не знакомы с бюджетами в Azure, см. статью "Создание бюджетов и управление ими".