設定 AWS 成本和使用量報告的整合
注意
成本管理服務中 AWS 的 連線 者將於 2025 年 3 月 31 日淘汰。 用戶應該考慮 AWS 成本管理報告的替代解決方案。 在 2024 年 3 月 31 日,Azure 會停用為所有客戶新增 AWS 連線 ors 的能力。 如需詳細資訊,請參閱 淘汰 Amazon Web Services (AWS) 連接器。
透過 Amazon Web Services (AWS) 成本和使用量報告 (CUR) 整合,您可以在成本管理中監視和控制 AWS 支出。 此整合可讓您在 Azure 入口網站的單一位置,同時監視和控制 Azure 與 AWS 的費用。 本文說明如何設定整合並加以設定,讓您可以使用成本管理功能來分析成本並檢閱預算。
成本管理會使用 AWS 存取認證來取得報告定義和下載報告 GZIP CSV 檔案,以處理儲存在 S3 貯體中的 AWS 成本和使用量報告。
在 AWS 中建立成本和使用量報告
使用成本和使用量報告是 AWS 收集及處理 AWS 成本的建議方式。 成本管理跨雲端連接器支援在管理(合併)帳戶層級設定的成本和使用報告。 如需詳細資訊,請參閱 AWS 成本和使用量報告 檔。
使用 AWS 中計費和成本管理控制台的 [ 成本與使用量報告 ] 頁面,以下列步驟建立成本和使用量報告:
- 登入 AWS 管理控制台,然後開啟 計費和成本管理控制台。
- 在瀏覽窗格中,選取 [成本與使用量報告]。
- 選取 [ 建立報表]。
- 針對 [ 報表名稱],輸入報表的名稱。
- 在 [其他報告詳細數據] 底 下,選取 [ 包含資源標識符]。
- 針對 [數據重新整理設定],選取您是否要在完成帳單之後,讓 AWS 成本和使用量報告重新整理 AWS 將退款、點數或支持費用套用至您的帳戶。 當報表重新整理時,新的報表會上傳至 Amazon S3。 建議您保留已選取的設定。
- 選取 [下一步]。
- 針對 S3 貯體,選擇 [ 設定]。
- 在 [設定 S3 貯體] 對話方塊中,輸入貯體名稱和您要在其中建立新貯體的區域,然後選擇 [ 下一步]。
- 選取 [我已確認此原則正確],然後選取 [ 儲存]。
- (選擇性)針對 [報表路徑前置詞],輸入您想要在報表名稱前面加上的報表路徑前置詞。
如果略過,預設前置詞就是您為報表指定的名稱。 日期範圍的格式/report-name/date-range/。 - 針對 [ 時間單位],選擇 [ 每小時]。
- 針對 [ 報表版本控制],選擇是否要讓每個版本的報表覆寫舊版,或如果您想要更多新的報表。
- 針對 [ 啟用的數據整合],不需要選取任何專案。
- 針對 [壓縮],選取 [GZIP]。
- 選取 [下一步]。
- 檢閱報表的設定之後,請選取 [ 檢閱並完成]。
記下報表名稱。 您會在後續步驟中使用它。
AWS 最多可能需要 24 小時的時間,才能開始將報表傳遞至您的 Amazon S3 貯體。 傳遞開始之後,AWS 會每天至少更新 AWS 成本和使用量報告檔案一次。 您可以繼續設定 AWS 環境,而不需要等待傳遞開始。
注意
目前不支援在成員 (連結) 帳戶層級設定的成本和使用量報告。
在 AWS 中建立原則和角色
成本管理會存取一天數次成本與使用量報告所在的 S3 貯體。 服務需要存取認證,才能檢查是否有新數據。 您可以在 AWS 中建立角色和原則,以允許成本管理存取它。
若要在成本管理中啟用 AWS 帳戶的角色型存取,該角色會在 AWS 控制台中建立。 您需要從 AWS 控制台取得 角色 ARN 和 外部識別碼 。 稍後,您會在成本管理中的 [ 建立 AWS 連接器 ] 頁面上使用這些連接器。
使用建立原則精靈
- 登入 AWS 控制台,然後選取 [服務]。
- 在服務清單中,選取 [IAM]。
- 選取 [ 原則]。
- 選取 [ 建立原則]。
- 選取 [ 選擇服務]。
設定成本和使用量報告的許可權
- 輸入 成本和使用量報告。
- 選取 [存取層級>讀取>描述][導出][定義]。 此步驟可讓成本管理讀取哪些 CUR 報表已定義,並判斷它們是否符合報表定義必要條件。
- 選取 [ 新增更多許可權]。
設定 S3 貯體和物件的許可權
- 選取 [ 選擇服務]。
- 輸入 S3。
- 選取 [存取層級>清單]>[列表][Ucket]。 此動作會取得 S3 Bucket 中的物件清單。
- 選取 [存取層級>讀取>GetObject]。 此動作允許下載帳單檔案。
- 選取 [特定資源>]。
- 在貯體中,選取 [新增ARN] 連結以開啟另一個視窗。
- 在 [資源貯體名稱] 中,輸入用來儲存 CUR 檔案的貯體。
- 選取 [ 新增 ARN]。
- 在物件中,選取 [任何]。
- 選取 [ 新增更多許可權]。
設定成本總管的許可權
- 選取 [ 選擇服務]。
- 輸入 成本總管服務。
- 選取 [所有成本總管服務動作] (ce:*)。 此動作會驗證集合是否正確。
- 選取 [ 新增更多許可權]。
新增 AWS 組織的許可權
- 輸入 組織。
- 選取 [存取層級>列表清單>][帳戶]。 此動作會取得帳戶的名稱。
- 選取 [ 新增更多許可權]。
設定原則的許可權
- 輸入 IAM。
- 選取 [存取層級>列表清單>][AttachedRolePolicies] 和 [ListPolicyVersions] 和 [ListRoles]。
- 選取 [存取層級 > 讀取 >GetPolicyVersion]。
- 選取 [資源原則>],然後選取 [任何]。 這些動作允許驗證只授與連接器所需的最小許可權集。
- 選取 [下一步]。
檢閱及建立
- 在 [檢閱原則] 中,輸入新原則的名稱。 確認您已輸入正確的資訊。
- 新增標籤。 您可以輸入想要使用的標籤,或略過此步驟。 在成本管理中建立連接器不需要此步驟。
- 選取 [建立原則 ] 以完成此程式。
原則 JSON 應該類似下列範例。 將 取代 bucketname 為您 S3 貯體的名稱, accountname 並以您的帳戶號碼取代 rolename 為您建立的角色名稱。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"iam:ListRoles",
"ce:*",
"cur:DescribeReportDefinitions"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:ListAttachedRolePolicies"
],
"Resource": [
"arn:aws:s3:::bucketname",
"arn:aws:s3:::bucketname/*",
"arn:aws:iam::accountnumber:policy/*",
"arn:aws:iam::accountnumber:role/rolename"
]
}
]
}
使用 [建立新角色精靈]
- 登入 AWS 控制台,然後選取 [服務]。
- 在服務清單中,選取 [IAM]。
- 選取 [ 角色 ],然後選取 [ 建立角色]。
- 在 [選取受信任的實體] 頁面上,選取 [AWS 帳戶],然後在 [AWS 帳戶] 底下,選取 [其他 AWS 帳戶]。
- 在 [帳戶標識符] 底下,輸入 432263259397。
- 在 [選項] 底下,選取 [需要外部標識符](第三方將擔任此角色時的最佳做法)。
- 在 [外部標識符] 下,輸入外部標識符,這是 AWS 角色與成本管理之間的共享密碼。 請注意外部標識碼,因為您在成本管理中的 [新增 連線 or] 頁面上使用它。 Microsoft 建議您在輸入外部標識符時使用強密碼原則。 外部識別碼應符合 AWS 限制:
- 類型:字串
- 長度限制:長度下限為 2。 最大長度為 1224。
- 必須滿足正規表示式模式:
[\w+=,.@: /-]*
注意
請勿變更 [需要 MFA] 的選取專案。 它應該保持清除。
- 選取 [下一步]。
- 在搜尋列中,搜尋您的新原則並加以選取。
- 選取 [下一步]。
- 在 [ 角色詳細數據] 中,輸入角色名稱。 確認您已輸入正確的資訊。 請注意輸入的名稱,因為您稍後會在設定成本管理連接器時使用它。
- 或者,新增標籤。 您可以輸入任何標籤,例如 或略過此步驟。 在成本管理中建立連接器不需要此步驟。
- 選取 [ 建立角色]。
在 Azure 中設定 AWS 的新連接器
使用下列資訊來建立 AWS 連接器,並開始監視 AWS 成本。
注意
如果您在初始設定期間將自動更新組態設為 [開啟],則 AWS 的 連線 or 會在試用期結束后維持作用中。 否則,連接器會在試用後停用。 在永久刪除之前,它可能會保持停用三個月。 刪除連接器之後,就無法重新啟用相同的連線。 如需已停用連接器的協助,或在刪除後建立新的連線,請在 Azure 入口網站 中建立支援要求。
必要條件
- 請確定您至少已啟用一個管理群組。 需要有管理群組,才能將您的訂用帳戶連結至 AWS 服務。 如需建立管理群組的詳細資訊,請參閱 在 Azure 中建立管理群組。
- 請確定您是訂用帳戶的系統管理員。
- 完成新 AWS 連接器所需的設定,如在 AWS 中建立成本和使用量報告一節中所述。
建立新的連接器
- 登入 Azure 入口網站。
- 流覽至 [成本管理 + 計費 ],並視需要選取計費範圍。
- 選取 [成本分析],然後選取 [設定]。
- 選取 AWS 連線 ors。
- 選取 [ 新增連接器]。
- 在 [建立連接器] 頁面上的 [顯示名稱] 中,輸入連接器的名稱。
![顯示您設定的 [建立連接器] 頁面和 AWS 連接器的螢幕快照。](media/aws-integration-setup-configure/create-aws-connector01.png)
- 選擇性地選取預設管理群組。 它會儲存所有探索到的連結帳戶。 您可以稍後進行設定。
- 在 [計費] 區段中,如果您想要確保持續作業,請選取 [自動更新為開啟]。 如果您選取自動選項,則必須選取計費訂用帳戶。
- 針對 [ 角色 ARN],輸入您在 AWS 中設定角色時所使用的值。
- 針對 [外部標識符],輸入您在 AWS 中設定角色時所使用的值。
- 針對 [ 報表名稱],輸入您在 AWS 中建立的名稱。
- 選取 [ 下一步] ,然後選取 [ 建立]。
新的 AWS 範圍、AWS 合併帳戶、AWS 連結帳戶及其成本數據可能需要數小時的時間才會出現。
建立連接器之後,建議您將訪問控制指派給它。 用戶會獲指派許可權給新探索的範圍:AWS 合併帳戶和 AWS 連結帳戶。 建立連接器的使用者是連接器的擁有者、合併的帳戶,以及所有連結的帳戶。
在探索發生之後將連接器許可權指派給使用者,並不會將許可權指派給現有的AWS範圍。 相反地,只有新的鏈接帳戶會獲指派許可權。
採取其他步驟
- 如果您尚未設定管理群組,請加以設定。
- 檢查新的範圍是否已新增至您的範圍選擇器。 選取 [ 重新整理 ] 以檢視最新的數據。
- 在 [ 雲端連接器] 頁面上,選取您的連接器,然後選取 [移至計費帳戶],將連結的帳戶 指派給管理群組。
注意
Microsoft 客戶合約 (MCA) 客戶目前不支援管理群組。 MCA 客戶可以建立連接器及檢視其 AWS 資料。 不過,MCA 客戶無法在管理群組下同時檢視其 Azure 成本和 AWS 成本。
管理 AWS 連接器
當您在 AWS 連線 ors 頁面上選取連接器時,您可以:
- 選取 [移至計費帳戶 ] 以檢視 AWS 合併帳戶的資訊。
- 選取 [存取控制],以管理連接器的角色指派。
- 選取 [編輯 ] 以更新連接器。 您無法變更 AWS 帳戶號碼,因為它會出現在 ARN 角色中。 但是您可以建立新的連接器。
- 選取 [驗證 ] 以重新執行驗證測試,以確保成本管理可以使用連接器設定收集數據。
設定 Azure 管理群組
將您的 Azure 訂用帳戶和 AWS 連結帳戶放在相同的管理群組中,以建立單一位置,您可以在其中查看跨雲端提供者資訊。 如果您想要使用管理群組設定 Azure 環境,請參閱 管理群組的初始設定。
如果您想要將成本分開,您可以建立只保留 AWS 連結帳戶的管理群組。
設定 AWS 合併帳戶
AWS 合併帳戶結合了多個 AWS 帳戶的計費和付款。 它也可作為 AWS 連結帳戶。 您可以使用 AWS 連接器頁面上的連結來檢視 AWS 合併帳戶的詳細數據。
從頁面,您可以:
- 選取 [ 更新 ] 以大量更新 AWS 鏈接帳戶與管理群組的關聯。
- 選取 [存取控制],以設定範圍的角色指派。
AWS 合併帳戶的許可權
根據預設,AWS 合併帳戶的許可權會根據 AWS 連接器許可權在帳戶建立時設定。 連接器建立者是擁有者。
您可以使用 AWS 合併帳戶的 [存取層級] 頁面來管理存取層級。 不過,AWS 連結帳戶不會繼承 AWS 合併帳戶的許可權。
設定 AWS 連結帳戶
AWS 連結帳戶是建立和管理 AWS 資源的位置。 鏈接的帳戶也會作為安全性界限。
您可以從此頁面:
- 選取 [更新 ] 以更新 AWS 連結帳戶與管理群組的關聯。
- 選取 [存取控制],為範圍設定角色指派。
AWS 連結帳戶的許可權
根據預設,根據 AWS 連接器許可權,在建立時會設定 AWS 連結帳戶的許可權。 連接器建立者是擁有者。 您可以使用 AWS 連結帳戶的 [存取層級] 頁面來管理存取層級。 AWS 連結帳戶不會繼承 AWS 合併帳戶的許可權。
AWS 連結帳戶一律繼承其所屬管理群組的許可權。
下一步
- 既然您已設定及設定 AWS 成本和使用量報告整合,請繼續 管理 AWS 成本和使用量。
- 如果您不熟悉成本分析,請參閱 使用成本分析 來探索和分析成本快速入門。
- 如果您不熟悉 Azure 中的預算,請參閱 建立和管理預算。