Implantar o serviço de Descoberta de Armazenamento do Azure

Para implantar o serviço de Descoberta de Armazenamento do Azure, você precisa criar um recurso de workspace do Discovery em um de seus grupos de recursos. Com esse recurso, você define quais recursos de armazenamento deseja cobrir em seu locatário do Microsoft Entra e como deseja segmentar relatórios para eles. O workspace oferece relatórios predefinidos no portal do Azure que você pode usar para recuperar os insights necessários sobre seus recursos de armazenamento.

Siga as etapas neste artigo para criar um recurso de espaço de trabalho da Descoberta de Armazenamento do Azure.

Criar um workspace de descoberta de armazenamento

Você pode criar um workspace de descoberta de armazenamento usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Portal do Azure

Crie um recurso do Workspace de Descoberta de Armazenamento do Azure no portal do Azure selecionando Criar , conforme mostrado na imagem a seguir.

Escolha a Assinatura e o Grupo de recursos no qual criar o espaço de trabalho de descoberta. A tabela a seguir descreve cada elemento.

Elemento	Descrição
Name	O nome do recurso do espaço de trabalho de Descoberta.
Description	Opcional. Descrição do recurso do espaço de trabalho de Descoberta.
Region	Região do Azure em que o recurso de descoberta é criado. 1
Pricing plan	Plano de preços da Descoberta de Armazenamento.2

¹ Para obter informações sobre as áreas cobertas, consulte as regiões do Espaço de Trabalho para Descoberta de Armazenamento. ² Para obter informações sobre o plano de preços de descoberta de armazenamento, consulte Understand Storage Discovery Pricing.

Definir workspaceRoots

Um workspaceRoot especifica os identificadores de recursos do Azure de nível superior em que a Descoberta de Armazenamento inicia sua verificação de contas de armazenamento. Esses identificadores normalmente são assinaturas ou grupos de recursos e servem como a raiz do processo de descoberta. WorkspaceRoots definem o escopo geral e os limites de sua propriedade do Azure para análise.

Selecione as assinaturas e/ou grupos de recursos que você deseja incluir no workspace.

Observação

• Verifique se o usuário ou a entidade de serviço que está implantando o espaço de trabalho recebe pelo menos acesso de Leitor a cada raiz especificada.
• Até 100 recursos – assinaturas e/ou grupos de recursos podem ser incluídos em um workspace.
• O limite padrão de 100 recursos por workspace pode ser aumentado. Entre em contato com o Suporte do Azure. Forneça a tenantID, SubscriptionID em que você deseja que esse limite seja aumentado.

Depois de adicionar suas assinaturas ou grupos de recursos ao seu workspace, o serviço executará uma verificação de acesso para verificar se o usuário tem Microsoft.Storage/storageAccounts/read nos recursos adicionados. A imagem a seguir fornece um exemplo de uma falha de verificação de acesso com a mensagem de status associada.

Se você não tiver Microsoft.Storage/storageAccounts/read em nenhum dos recursos adicionados, remova o recurso do workSpaceRoots para continuar com a criação do espaço de trabalho ou resolver o problema de acesso, e tentar novamente.

Criar um escopo

Escopos são agrupamentos lógicos de contas de armazenamento dentro dos workspaceRoots definidos. Os escopos permitem filtrar e organizar dados usando marcas e tipos de recursos, habilitando insights direcionados. Por exemplo, você pode criar escopos para departamentos individuais, ambientes ou zonas de conformidade.

Importante

Um Escopo padrão é adicionado automaticamente, o que inclui todas as contas de armazenamento em assinaturas ou grupos de recursos adicionados no workspaceRoots.

Opcionalmente, você pode adicionar marcas a esse recurso de workspace. Em seguida, selecione Examinar e Criar. Se a validação de acesso ainda estiver em execução, você ainda não poderá criar o recurso do workspace. Aguarde até que essa verificação seja concluída, corrija os problemas e confirme selecionando Criar.

Observação

A criação de recursos de descoberta falhará se as verificações de acesso em qualquer assinatura ou grupo de recursos não forem bem-sucedidas.

Depois que as verificações de acesso forem concluídas com êxito, o recurso poderá ser implantado conforme mostrado na imagem de exemplo a seguir.

Azure PowerShell

Crie um recurso de workspace da Descoberta de Armazenamento do Azure no portal do Azure modificando as variáveis no script do PowerShell a seguir para incluir seu grupo de recursos, o nome do workspace e a localização. Verifique se os valores estão corretos e execute o script no console do Azure PowerShell.

# First, set variables for the resources
$resGroupName   = "myResourceGroup"
$workSpaceName  = "myStorageDiscoveryWorkspace"
$location       = "East US"
$DiscoveryScopeLevel1 = "myScopeLevel1"
$DiscoveryScopeLevel2 = "myScopeLevel2"

# Next, prepare a DiscoveryScope object
$scope1 =  New-AzStorageDiscoveryScopeObject -DisplayName "test1" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest1" -Tag @{"tag1" = "value1"; "tag2" = "value2" }
$scope2 =  New-AzStorageDiscoveryScopeObject -DisplayName "test2" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest2" -Tag @{"tag3" = "value3" }

# Finally, create the discovery workspace
New-AzStorageDiscoveryWorkspace -Name $workSpaceName  -ResourceGroupName $resGroupName `
-Location $location -Description 123 -WorkspaceRoot $DiscoveryScopeLevel1 `
-Sku Standard   -Scope $scope1

Azure CLI

Crie um recurso de espaço de trabalho para Descoberta de Armazenamento do Azure usando a CLI.

az storage-discovery workspace create \
            --resource-group <your-resource-group> \
            --name <your-workspace-name> \
            --location <azure-region> \
            --workspace-roots "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group>" \
            --scopes '[{"displayName":"basic","resourceTypes":["Microsoft.Storage/storageAccounts"]}]' \
            --sku Standard \
            --description "Optional description"

Parâmetros obrigatórios

Parâmetro	Descrição
grupo de recursos	O grupo de recursos em que o local de trabalho é criado.
nome	O nome do espaço de trabalho.
local	Região do Azure para implantação.
raízes do espaço de trabalho	A raiz do workspace designa os recursos de armazenamento para os quais obter insights. Isso string[] pode conter uma combinação de IDs de assinatura e IDs de grupos de recursos. Você pode combinar e alternar entre esses tipos de recursos. A identidade na qual você implanta o workspace deve ter permissões para todos os recursos listados no momento da implantação.
escopos	Você pode criar vários escopos em uma área de trabalho. Um escopo permite filtrar os recursos de armazenamento que o workspace abrange e obter relatórios diferentes para cada um desses escopos. A filtragem é baseada em marcas de recurso do ARM em seus recursos de armazenamento. Essa propriedade espera um objeto JSON contendo seções para combinações de tag key name : value ou apenas tag key names. Quando os recursos de armazenamento têm tags de recurso ARM correspondentes, eles são incluídos nesse escopo.
sku	Tipo de preço (Gratuito ou Standard).

Parâmetros opcionais

Parâmetro	Descrição
descrição	Metadados opcionais para o espaço de trabalho.

Observação

Pode levar até 24 horas após a criação do escopo para que as métricas comecem a aparecer em relatórios.