Разверните службу обнаружения хранилища Azure

Чтобы развернуть службу обнаружения Azure Storage, необходимо создать рабочую область обнаружения в одной из групп ресурсов. С помощью этого ресурса вы определяете ресурсы хранилища, которые вы хотите охватывать в клиенте Microsoft Entra, и как сегментировать отчеты для них. Рабочая область предлагает предварительно созданные отчеты на портале Azure, которые можно использовать для получения аналитических сведений о ресурсах хранилища.

Выполните действия, описанные в этой статье, чтобы создать ресурс рабочей области обнаружения службы хранилища Azure.

Создание рабочей области обнаружения хранилища

Вы можете создать рабочую область обнаружения хранилища с помощью портала Azure, Azure PowerShell или Azure CLI.

Портал Azure

Создайте ресурс рабочей области обнаружения службы хранилища Azure на портале Azure, выбрав "Создать ", как показано на следующем рисунке.

Выберите группуподписок и ресурсов, в которой необходимо создать рабочую область обнаружения. Каждый из элементов описан в таблице ниже.

Элемент	Описание
Name	Имя ресурса рабочей области обнаружения.
Description	Необязательно. Описание ресурса рабочей области обнаружения.
Region	Регион Azure, в котором создается ресурс обнаружения. 1
Pricing plan	Тарифный план обнаружения хранилища. 2

¹ Сведения о регионах, охваченных, см. в разделе "Области обнаружения хранилища". ² Сведения о ценовом плане обнаружения хранилища см. в разделе "Общие сведения о ценах на обнаружение хранилища".

Определение workspaceRoots

WorkspaceRoot указывает идентификаторы ресурсов Azure верхнего уровня, в которых обнаружение хранилища инициирует проверку учетных записей хранения. Эти идентификаторы обычно являются подписками или группами ресурсов и служат корнем процесса обнаружения. WorkspaceRoots определяет общую область и границы вашего имущества Azure для анализа.

Выберите подписки и (или) группы ресурсов, которые необходимо включить в рабочую область.

Замечание

• Убедитесь, что пользователю или субъекту-службе, развертывающей рабочую область, предоставляется по крайней мере доступ читателя к каждому указанному корневому каталогу.
• До 100 ресурсов — подписки и (или) группы ресурсов могут быть включены в одну рабочую область.
• Ограничение по умолчанию в 100 ресурсов для каждой рабочей области может быть увеличено. Обратитесь в службу поддержки Azure. Укажите идентификатор клиента, SubscriptionID, где необходимо увеличить это ограничение.

После того как вы добавите подписки или группы ресурсов в рабочую область, служба выполнит проверку доступа, чтобы убедиться, что у пользователя есть Microsoft.Storage/storageAccounts/read к добавленным ресурсам. На следующем рисунке представлен пример сбоя проверки доступа с соответствующим сообщением о состоянии.

Если у вас нет Microsoft.Storage/storageAccounts/read дополнительных ресурсов, удалите ресурс из workSpaceRoots, чтобы продолжить создание рабочей области или устранить проблему доступа и повторите попытку.

Создание области

Области — это логические группировки учетных записей хранения в определенных рабочих областяхRoots. Области позволяют фильтровать и упорядочивать данные с помощью тегов и типов ресурсов, обеспечивая целевую аналитику. Например, можно создавать области для отдельных отделов, сред или зон соответствия требованиям.

Это важно

Область по умолчанию добавляется автоматически, которая включает все учетные записи хранения в подписках или группах ресурсов, добавленных в workspaceRoots.

При необходимости можно добавить теги в этот ресурс рабочей области. Затем выберите "Рецензирование" и "Создать". Если проверка доступа по-прежнему выполняется, вы еще не можете создать ресурс рабочей области. Дождитесь завершения этой проверки, исправьте все проблемы, а затем подтвердите, нажав кнопку "Создать".

Замечание

Создание ресурса для обнаружения окончится неудачей в случае, если проверка доступа к любой подписке или группе ресурсов окажется неуспешной.

После успешной проверки доступа ресурс можно развернуть, как показано на следующем примере образа.

Azure PowerShell

Создайте ресурс рабочей области обнаружения службы хранилища Azure на портале Azure, изменив переменные в следующем скрипте PowerShell, чтобы включить группу ресурсов, имя рабочей области и расположение. Убедитесь, что значения верны, а затем запустите скрипт в консоли Azure PowerShell.

# First, set variables for the resources
$resGroupName   = "myResourceGroup"
$workSpaceName  = "myStorageDiscoveryWorkspace"
$location       = "East US"
$DiscoveryScopeLevel1 = "myScopeLevel1"
$DiscoveryScopeLevel2 = "myScopeLevel2"

# Next, prepare a DiscoveryScope object
$scope1 =  New-AzStorageDiscoveryScopeObject -DisplayName "test1" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest1" -Tag @{"tag1" = "value1"; "tag2" = "value2" }
$scope2 =  New-AzStorageDiscoveryScopeObject -DisplayName "test2" `
            -ResourceType "Microsoft.Storage/storageAccounts"  `
            -TagKeysOnly "e2etest2" -Tag @{"tag3" = "value3" }

# Finally, create the discovery workspace
New-AzStorageDiscoveryWorkspace -Name $workSpaceName  -ResourceGroupName $resGroupName `
-Location $location -Description 123 -WorkspaceRoot $DiscoveryScopeLevel1 `
-Sku Standard   -Scope $scope1

Azure CLI

Создайте ресурс обнаружения в рабочей области хранилища Azure с помощью CLI.

az storage-discovery workspace create \
            --resource-group <your-resource-group> \
            --name <your-workspace-name> \
            --location <azure-region> \
            --workspace-roots "/subscriptions/<your-subscription-id>/resourceGroups/<your-resource-group>" \
            --scopes '[{"displayName":"basic","resourceTypes":["Microsoft.Storage/storageAccounts"]}]' \
            --sku Standard \
            --description "Optional description"

Обязательные параметры

Параметр	Описание
группа ресурсов	Группа ресурсов, в которой создается рабочее пространство.
имя	Имя рабочей области.
location	Регион Azure для развертывания.
корни рабочей области	Корень рабочей области обозначает хранение ресурсов для получения аналитических сведений. Это string[] может содержать сочетания идентификаторов подписок и идентификаторов групп ресурсов. Вы можете комбинировать эти типы ресурсов. Учетная запись, под которой развертывается рабочая область , должен иметь права доступа к всем ресурсам, перечисленным на момент развертывания.
scopes	В рабочей области можно создать несколько областей. Сфера позволяет фильтровать ресурсы хранилища, охваченные рабочей областью, и получать различные отчеты для каждой из этих сфер. Фильтрация основана на тегах ресурсов ARM на ресурсах хранилища. Это свойство ожидает объект JSON, который содержит разделы для сочетаний tag key name : value или только для tag key names. Если ресурсы хранилища имеют соответствующие теги ресурсов ARM, они включены в эту область.
sku	Ценовая категория (бесплатный или стандартный).

Необязательные параметры

Параметр	Описание
описание	Необязательные метаданные для рабочей области.

Замечание

После создания области может потребоваться до 24 часов после создания области, чтобы метрики начали появляться в отчетах.