Compartilhar via


Preparar e configurar a integração do relatório de Custo e Uso da AWS

Observação

O Connector for AWS no serviço Gerenciamento de Custos da Microsoft será desativado em 31 de março de 2025. Os usuários devem considerar soluções alternativas para relatórios de gerenciamento de custos da AWS. Em 31 de março de 2024, o Azure desabilitará a capacidade de adicionar novos Conectores para AWS para todos os clientes. Para obter mais informações, consulte Desativar seu conector do AWS (Amazon Web Services).

Com a integração do CUR (relatório de custo e uso) da AWS (Amazon Web Services), você monitora e controla seus gastos com a AWS no Gerenciamento de Custos. A integração possibilita uma localização no portal do Azure em que você monitora e controla os gastos com o Azure e a AWS. Este artigo explica como preparar a integração e configurá-la para que você possa usar os recursos do Gerenciamento de Custos para analisar os custos e examinar os orçamentos.

O Gerenciamento de Custos processa o relatório de Custo e Uso da AWS armazenado em um bucket do S3, usando suas credenciais de acesso da AWS para obter definições de relatório e baixar arquivos CSV GZIP de relatório.

Criar um relatório de custo e uso na AWS

Usar um relatório de custo e uso é a maneira recomendada pela AWS de coletar e processar os custos com a AWS. O conector de nuvem cruzada de Gerenciamento de Custos suporta relatórios de custos e de uso configurados no nível da conta de gerenciamento (consolidado). Para obter mais informações, veja a documentação Relatório de custo e uso da AWS.

Use a página Relatórios de Custo de Uso do console de Gerenciamento de Custos e Cobrança na AWS para criar um relatório de custo e uso com as seguintes etapas:

  1. Entre no Console de Gerenciamento da AWS e abra o Console de Gerenciamento de Custos e Cobrança.
  2. No painel de navegação, selecione Relatórios de Custo e Uso.
  3. Selecione Criar relatório.
  4. Em Nome do relatório, insira um nome para o relatório.
  5. Em Detalhes adicionais do relatório, selecione Incluir IDs do recurso.
  6. Para Configurações de atualização de dados, selecione se deseja que o relatório de Custo e Uso da AWS seja atualizado se a AWS aplicar reembolsos, créditos ou taxas de suporte à sua conta depois de finalizar a sua fatura. Quando um relatório é atualizado, um novo relatório é carregado no Amazon S3. Recomendamos que você deixe a configuração selecionada.
  7. Selecione Avançar.
  8. Para o bucket do S3, escolha Configurar.
  9. Na caixa de diálogo Configurar Bucket S3, insira um nome de bucket e a região em que você deseja criar um bucket e escolha Avançar.
  10. Selecione Confirmei que esta política está correta e selecione Salvar.
  11. (Opcional) Para o prefixo do caminho do relatório, insira o prefixo do caminho do relatório que você deseja que seja anexado ao nome do relatório.
    Se ignorado, o prefixo padrão é o nome especificado para o relatório. O intervalo de datas tem o formato /report-name/date-range/.
  12. Em Unidade de tempo, escolha Por hora.
  13. Para Controle de versão de relatório, escolha se deseja que cada versão do relatório substitua a versão anterior ou se deseja mais relatórios novos.
  14. Em Habilitar a integração de dados para, nenhuma seleção é necessária.
  15. Em Compressão, selecione GZIP.
  16. Selecione Avançar.
  17. Depois de examinar as configurações do relatório, selecione Examinar e concluir.
    Tome nota do nome do relatório. Use-o em etapas posteriores.

Pode levar até 24 horas para a AWS começar a entregar relatórios ao seu bucket do Amazon S3. Após o início da entrega, a AWS atualiza os arquivos de relatório de Custo e Uso da AWS pelo menos uma vez por dia. Você pode continuar configurando seu ambiente da AWS sem esperar que a entrega seja iniciada.

Observação

Atualmente, não há suporte para relatórios de custos e de uso configurados no nível da conta do membro (vinculado).

Criar uma política e uma função no AWS

O Gerenciamento de Custos acessa várias vezes por dia o bucket do S3 em que o relatório de Custo e Uso está localizado. O serviço precisa acessar as credenciais para verificar se há novos dados. Você cria uma função e uma política na AWS para permitir que o Gerenciamento de Custos o acesse.

Para habilitar o acesso baseado em função a uma conta da AWS no Gerenciamento de Custos, a função é criada no console da AWS. Você precisa ter o ARN da função e a ID externa do console da AWS. Posteriormente, use-os na página Criar um conector da AWS no Gerenciamento de Custos.

Usar o assistente de criação de política

  1. Entre no console do AWS e selecione Serviços.
  2. Na lista de serviços, selecione IAM.
  3. Selecione Políticas.
  4. Selecione Criar política.
  5. Selecione Escolher um serviço.

Configurar a permissão para o relatório de custo e uso

  1. Insira Relatório de Custo e Uso.
  2. Selecione Nível de acesso>Leitura>DescribeReportDefinitions. Esta etapa permite que o Gerenciamento de Custos leia quais relatórios de CUR estão definidos e determine se eles correspondem ao pré-requisito de definição de relatório.
  3. Selecione Adicionar mais permissões.

Configurar a permissão para o seu bucket S3 e objetos

  1. Selecione Escolher um serviço.
  2. Insira S3.
  3. Selecione Nível de acesso>Listar>ListBucket. Esta ação obtém a lista de objetos no bucket do S3.
  4. Selecione Nível de acesso>Leitura>GetObject. Essa ação permite o download de arquivos de cobrança.
  5. Selecione Recursos>Específico.
  6. No bucket, selecione o link Adicionar ARNs para abrir outra janela.
  7. Em Nome do bucket de recursos, insira o bucket usado para armazenar os arquivos CUR.
  8. Selecione Adicionar ARNs.
  9. No objeto, selecione Qualquer.
  10. Selecione Adicionar mais permissões.

Configurar a permissão para o Gerenciador de Custos

  1. Selecione Escolher um serviço.
  2. Insira Serviço Explorador de Custos.
  3. Selecione Todas as ações do Serviço Explorador de Custos (ce:*). Esta ação valida que a coleção está correta.
  4. Selecione Adicionar mais permissões.

Adicionar permissão para organizações do AWS

  1. Insira Organizações.
  2. Selecione Nível de acesso>Listar>ListAccounts. Essa ação obtém os nomes das contas.
  3. Selecione Adicionar mais permissões.

Configurar permissões para políticas

  1. Insira IAM.
  2. Selecione Nível de acesso > Lista >ListAttachedRolePolicies, ListPolicyVersions e ListRoles.
  3. Selecione Nível de acesso > Leitura >GetPolicyVersion.
  4. Selecione a política Recursos> e a opção Qualquer. Essas ações permitem a verificação de que apenas o conjunto mínimo de permissões necessário foi concedido ao conector.
  5. Selecione Avançar.

Examinar e criar

  1. Em Examinar Política, insira um nome para a nova política. Verifique se você inseriu as informações corretas.
  2. Adicionar marcas. Você pode inserir marcas que deseja usar ou ignorar esta etapa. Esta etapa não é necessária para criar um conector no Gerenciamento de Custos.
  3. Selecione Criar política para concluir este procedimento.

O JSON da política deve ser semelhante ao exemplo a seguir. Substitua bucketname pelo nome do bucket S3, accountname pelo número da conta e rolename pelo nome da função que você criou.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "iam:ListRoles",
                "ce:*",
                "cur:DescribeReportDefinitions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "iam:GetPolicyVersion",
                "iam:ListPolicyVersions",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:s3:::bucketname",
                "arn:aws:s3:::bucketname/*",
                "arn:aws:iam::accountnumber:policy/*",
                "arn:aws:iam::accountnumber:role/rolename"
            ]
        }
    ]
}

Usar o assistente Criar uma Nova Função

  1. Entre no console da AWS e selecione Serviços.
  2. Na lista de serviços, selecione IAM.
  3. Selecione Funções e depois Criar Função.
  4. Na página Selecionar entidade confiável, escolha Conta do AWS e, em Uma conta do AWS, selecione Outra conta do AWS.
  5. Em ID da conta, insira 432263259397.
  6. Em Opções, selecione Exigir ID externa (melhor prática caso um terceiro vá assumir essa função).
  7. Em ID Externa, insira a ID externa, que é uma senha compartilhada entre a função da AWS e o Gerenciamento de Custos. Observe a ID externa, pois você a usa na página Novo conector no Gerenciamento de Custos. A Microsoft recomenda que você use uma política de senha forte ao inserir a ID externa. A ID externa deve estar em conformidade com as restrições da AWS:
    • Tipo: String
    • Restrições de comprimento: comprimento mínimo de 2. Comprimento máximo de 1224.
    • Deve satisfazer o padrão de expressão regular: [\w+=,.@: /-]*

    Observação

    Não altere a seleção para Exigir MFA. Ele deve permanecer limpo.

  8. Selecione Avançar.
  9. Na barra de pesquisa, pesquise sua nova política e selecione-a.
  10. Selecione Avançar.
  11. Em Detalhes da função, insira um nome de função. Verifique se você inseriu as informações corretas. Observe o nome inserido porque você o usará mais tarde ao configurar o conector do Gerenciamento de Custos.
  12. Opcionalmente, adicione marcas. Você pode inserir qualquer marca como ou ignorar esta etapa. Esta etapa não é necessária para criar um conector no Gerenciamento de Custos.
  13. Selecione Criar função.

Configurar um novo conector para a AWS no Azure

Use as informações a seguir para criar um conector da AWS e começar a monitorar seus custos da AWS.

Observação

O Conector para AWS permanecerá ativo após o término do período de avaliação se você definir a configuração de renovação automática como Ativada durante a instalação inicial. Caso contrário, o conector será desabilitado após sua avaliação. Ele pode permanecer desabilitado por três meses antes de ser excluído permanentemente. Depois que o conector for excluído, a mesma conexão não poderá ser reativada. Para obter assistência com um conector desabilitado ou para criar uma nova conexão após a exclusão, crie uma solicitação de suporte no portal do Azure.

Pré-requisitos

  • Verifique se você tem pelo menos um grupo de gerenciamento habilitado. Um grupo de gerenciamento é necessário para vincular sua assinatura ao serviço da AWS. Para saber mais sobre como criar um grupo de gerenciamento, confira Criar um grupo de gerenciamento no Azure.
  • Verifique se você é um administrador da assinatura.
  • Conclua a configuração necessária para um novo conector da AWS, conforme descrito na seção Criar um relatório de custo e uso na AWS.

Criar um conector

  1. Entre no portal do Azure.
  2. Navegue até Gerenciamento de Custos e Cobrança e selecione um escopo do orçamento, se necessário.
  3. Selecione Análise de custo e selecione Configurações.
  4. Selecione Conectores para a AWS.
  5. Selecione Adicionar conector.
  6. Na página Criar conector, em Nome de exibição, insira um nome para o conector.
    Captura de tela mostrando a página Criar conector em que você configura e um conector do AWS.
  7. Opcionalmente, selecione o grupo de gerenciamento padrão. Ela armazena todas as contas vinculadas descobertas. Você pode configurá-lo mais tarde.
  8. Na seção Cobrança, selecione Renovação Automática como Ativado se desejar garantir a operação contínua. Se você selecionar a opção automática, deverá selecionar uma assinatura para cobrança.
  9. Para o ARN da função, insira o valor que você usou ao configurar a função na AWS.
  10. Para a ID Externa, insira o valor que você usou ao configurar a função na AWS.
  11. Para Nome do Relatório, insira o nome que você criou na AWS.
  12. Selecione Avançar e, em seguida, selecione Criar.

Pode levar algumas horas para que os novos escopos da AWS, a conta consolidada da AWS, as contas vinculadas da AWS e os respectivos dados de custo sejam exibidos.

Depois de criar o conector, recomendamos que você atribua o controle de acesso a ele. Os usuários recebem permissões para os escopos recém-descobertos: a conta consolidada da AWS e as contas vinculadas da AWS. O usuário que cria o conector é o proprietário do conector, da conta consolidada e de todas as contas vinculadas.

A atribuição de permissões de conector a usuários após a ocorrência da descoberta não atribui permissões aos escopos da AWS existentes. Em vez disso, as permissões são atribuídas somente às novas contas vinculadas.

Execute outras etapas

  • Configure grupos de gerenciamento, se ainda não tiver feito isso.
  • Verifique se novos escopos são adicionados ao seu seletor de escopo. Selecione Atualizar para exibir os dados mais recentes.
  • Na página Conectores de nuvem, selecione o conector e selecione Ir para a conta de cobrança para atribuir a conta vinculada a grupos de gerenciamento.

Observação

Atualmente, não há suporte para os grupos de gerenciamento nos clientes do MCA (Contrato de Cliente da Microsoft). Os clientes do MCA podem criar o conector e ver os respectivos dados da AWS. No entanto, os clientes do MCA não podem ver os custos do Azure e os custos da AWS juntos em um grupo de gerenciamento.

Gerenciar os conectores da AWS

Ao selecionar um conector na página Conectores da AWS, você poderá:

  • Selecione Ir para a Conta de Cobrança para exibir informações para a conta consolidada da AWS.
  • Selecione Controle de Acesso para gerenciar a atribuição de função para o conector.
  • Selecione Editar para atualizar o conector. Não é possível alterar o número da conta da AWS, pois ele aparece no ARN da função. Mas você pode criar um conector.
  • Selecione Verificar para executar novamente o teste de verificação a fim de garantir que o Gerenciamento de Custos possa coletar dados usando as configurações do conector.

Captura de tela mostrando os detalhes do conector do AWS.

Configurar grupos de gerenciamento do Azure

Coloque suas assinaturas do Azure e as contas vinculadas da AWS no mesmo grupo de gerenciamento para criar uma única localização em que você possa ver as informações do provedor entre nuvens. Se você quiser configurar o seu ambiente do Azure com grupos de gerenciamento, confira Configuração inicial de grupos de gerenciamento.

Se você quiser separar os custos, poderá criar um grupo de gerenciamento que contenha apenas contas vinculadas da AWS.

Configurar uma conta consolidada da AWS

A conta consolidada da AWS combina cobrança e pagamento para várias contas da AWS. Ela também atua como uma conta vinculada da AWS. Veja os detalhes da sua conta consolidada da AWS usando o link na página do conector da AWS.

Captura de tela mostrando detalhes de uma conta consolidada do AWS.

Nessa página, você pode:

  • Selecionar Atualizar para atualizar em massa a associação de contas vinculadas da AWS a um grupo de gerenciamento.
  • Selecione Controle de Acesso para definir a atribuição de função para o escopo.

Permissões para uma conta consolidada da AWS

Por padrão, as permissões para uma conta consolidada da AWS são definidas na criação da conta, com base nas permissões do conector da AWS. O criador do conector é o proprietário.

Você gerencia o nível de acesso usando a página Nível de Acesso da conta consolidada da AWS. No entanto, as contas vinculadas da AWS não herdam permissões da conta consolidada da AWS.

Definir uma conta vinculada da AWS

A conta vinculada da AWS é onde os recursos da AWS são criados e gerenciados. Uma conta vinculada também age como um limite de segurança.

Nesta página, você pode:

  • Selecionar Atualizar para atualizar a associação de uma conta vinculada da AWS a um grupo de gerenciamento.
  • Selecionar Controle de Acesso para definir uma atribuição de função para o escopo.

Captura de tela mostrando a página Conta vinculada do AWS.

Permissões para uma conta vinculada da AWS

Por padrão, as permissões para uma conta vinculada da AWS são definidas na criação, com base nas permissões do conector da AWS. O criador do conector é o proprietário. Você gerencia o nível de acesso usando a página Nível de Acesso da conta vinculada da AWS. As contas vinculadas da AWS não herdam permissões de uma conta consolidada da AWS.

As contas vinculadas da AWS sempre herdam as permissões do grupo de gerenciamento ao qual pertencem.

Próximas etapas