共用方式為


設定 AWS 成本和使用量報告的整合

注意

成本管理服務中 AWS 的 連線 者將於 2025 年 3 月 31 日淘汰。 用戶應該考慮 AWS 成本管理報告的替代解決方案。 在 2024 年 3 月 31 日,Azure 會停用為所有客戶新增 AWS 連線 ors 的能力。 如需詳細資訊,請參閱 淘汰 Amazon Web Services (AWS) 連接器

透過 Amazon Web Services (AWS) 成本和使用量報告 (CUR) 整合,您可以在成本管理中監視和控制 AWS 支出。 此整合可讓您在 Azure 入口網站的單一位置,同時監視和控制 Azure 與 AWS 的費用。 本文說明如何設定整合並加以設定,讓您可以使用成本管理功能來分析成本並檢閱預算。

成本管理會使用 AWS 存取認證來取得報告定義和下載報告 GZIP CSV 檔案,以處理儲存在 S3 貯體中的 AWS 成本和使用量報告。

在 AWS 中建立成本和使用量報告

使用成本和使用量報告是 AWS 收集及處理 AWS 成本的建議方式。 成本管理跨雲端連接器支援在管理(合併)帳戶層級設定的成本和使用報告。 如需詳細資訊,請參閱 AWS 成本和使用量報告 檔。

使用 AWS 中計費和成本管理控制台的 [ 成本與使用量報告 ] 頁面,以下列步驟建立成本和使用量報告:

  1. 登入 AWS 管理控制台,然後開啟 計費和成本管理控制台
  2. 在瀏覽窗格中,選取 [成本與使用量報告]。
  3. 選取 [ 建立報表]。
  4. 針對 [ 報表名稱],輸入報表的名稱。
  5. 在 [其他報告詳細數據] 底 ,選取 [ 包含資源標識符]。
  6. 針對 [數據重新整理設定],選取您是否要在完成帳單之後,讓 AWS 成本和使用量報告重新整理 AWS 將退款、點數或支持費用套用至您的帳戶。 當報表重新整理時,新的報表會上傳至 Amazon S3。 建議您保留已選取的設定。
  7. 選取 [下一步]。
  8. 針對 S3 貯體,選擇 [ 設定]。
  9. 在 [設定 S3 貯體] 對話方塊中,輸入貯體名稱和您要在其中建立新貯體的區域,然後選擇 [ 下一步]。
  10. 選取 [我已確認此原則正確],然後選取 [ 儲存]。
  11. (選擇性)針對 [報表路徑前置詞],輸入您想要在報表名稱前面加上的報表路徑前置詞。
    如果略過,預設前置詞就是您為報表指定的名稱。 日期範圍的格式 /report-name/date-range/
  12. 針對 [ 時間單位],選擇 [ 每小時]。
  13. 針對 [ 報表版本控制],選擇是否要讓每個版本的報表覆寫舊版,或如果您想要更多新的報表。
  14. 針對 [ 啟用的數據整合],不需要選取任何專案。
  15. 針對 [壓縮],選取 [GZIP]。
  16. 選取 [下一步]。
  17. 檢閱報表的設定之後,請選取 [ 檢閱並完成]。
    記下報表名稱。 您會在後續步驟中使用它。

AWS 最多可能需要 24 小時的時間,才能開始將報表傳遞至您的 Amazon S3 貯體。 傳遞開始之後,AWS 會每天至少更新 AWS 成本和使用量報告檔案一次。 您可以繼續設定 AWS 環境,而不需要等待傳遞開始。

注意

目前不支援在成員 (連結) 帳戶層級設定的成本和使用量報告。

在 AWS 中建立原則和角色

成本管理會存取一天數次成本與使用量報告所在的 S3 貯體。 服務需要存取認證,才能檢查是否有新數據。 您可以在 AWS 中建立角色和原則,以允許成本管理存取它。

若要在成本管理中啟用 AWS 帳戶的角色型存取,該角色會在 AWS 控制台中建立。 您需要從 AWS 控制台取得 角色 ARN外部識別碼 。 稍後,您會在成本管理中的 [ 建立 AWS 連接器 ] 頁面上使用這些連接器。

使用建立原則精靈

  1. 登入 AWS 控制台,然後選取 [服務]。
  2. 在服務清單中,選取 [IAM]。
  3. 選取 [ 原則]。
  4. 選取 [ 建立原則]。
  5. 選取 [ 選擇服務]。

設定成本和使用量報告的許可權

  1. 輸入 成本和使用量報告
  2. 選取 [存取層級>讀取>描述][導出][定義]。 此步驟可讓成本管理讀取哪些 CUR 報表已定義,並判斷它們是否符合報表定義必要條件。
  3. 選取 [ 新增更多許可權]。

設定 S3 貯體和物件的許可權

  1. 選取 [ 選擇服務]。
  2. 輸入 S3
  3. 選取 [存取層級>清單]>[列表][Ucket]。 此動作會取得 S3 Bucket 中的物件清單。
  4. 選取 [存取層級>讀取>GetObject]。 此動作允許下載帳單檔案。
  5. 選取 [特定資源>]。
  6. 在貯體中,選取 [新增ARN] 連結以開啟另一個視窗。
  7. [資源貯體名稱] 中,輸入用來儲存 CUR 檔案的貯體。
  8. 選取 [ 新增 ARN]。
  9. 在物件,選取 [任何]。
  10. 選取 [ 新增更多許可權]。

設定成本總管的許可權

  1. 選取 [ 選擇服務]。
  2. 輸入 成本總管服務
  3. 選取 [所有成本總管服務動作] (ce:*)。 此動作會驗證集合是否正確。
  4. 選取 [ 新增更多許可權]。

新增 AWS 組織的許可權

  1. 輸入 組織
  2. 選取 [存取層級>列表清單>][帳戶]。 此動作會取得帳戶的名稱。
  3. 選取 [ 新增更多許可權]。

設定原則的許可權

  1. 輸入 IAM
  2. 選取 [存取層級>列表清單>][AttachedRolePolicies] 和 [ListPolicyVersions] 和 [ListRoles]。
  3. 選取 [存取層級 > 讀取 >GetPolicyVersion]。
  4. 選取 [資源原則>],然後選取 [任何]。 這些動作允許驗證只授與連接器所需的最小許可權集。
  5. 選取 [下一步]。

檢閱及建立

  1. 在 [檢閱原則] 中,輸入新原則的名稱。 確認您已輸入正確的資訊。
  2. 新增標籤。 您可以輸入想要使用的標籤,或略過此步驟。 在成本管理中建立連接器不需要此步驟。
  3. 選取 [建立原則 ] 以完成此程式。

原則 JSON 應該類似下列範例。 將 取代 bucketname 為您 S3 貯體的名稱, accountname 並以您的帳戶號碼取代 rolename 為您建立的角色名稱。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "iam:ListRoles",
                "ce:*",
                "cur:DescribeReportDefinitions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "iam:GetPolicyVersion",
                "iam:ListPolicyVersions",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:s3:::bucketname",
                "arn:aws:s3:::bucketname/*",
                "arn:aws:iam::accountnumber:policy/*",
                "arn:aws:iam::accountnumber:role/rolename"
            ]
        }
    ]
}

使用 [建立新角色精靈]

  1. 登入 AWS 控制台,然後選取 [服務]。
  2. 在服務清單中,選取 [IAM]。
  3. 選取 [ 角色 ],然後選取 [ 建立角色]。
  4. 在 [選取受信任的實體] 頁面上,選取 [AWS 帳戶],然後在 [AWS 帳戶] 底下,選取 [其他 AWS 帳戶]。
  5. 在 [帳戶標識符] 底下,輸入 432263259397
  6. 在 [選項]下,選取 [需要外部標識符](第三方將擔任此角色時的最佳做法)。
  7. 在 [外部標識符] 下,輸入外部標識符,這是 AWS 角色與成本管理之間的共享密碼。 請注意外部標識碼,因為您在成本管理中的 [新增 連線 or] 頁面上使用它。 Microsoft 建議您在輸入外部標識符時使用強密碼原則。 外部識別碼應符合 AWS 限制:
    • 類型:字串
    • 長度限制:長度下限為 2。 最大長度為 1224。
    • 必須滿足正規表示式模式: [\w+=,.@: /-]*

    注意

    請勿變更 [需要 MFA]選取專案。 它應該保持清除。

  8. 選取 [下一步]。
  9. 在搜尋列中,搜尋您的新原則並加以選取。
  10. 選取 [下一步]。
  11. 在 [ 角色詳細數據] 中,輸入角色名稱。 確認您已輸入正確的資訊。 請注意輸入的名稱,因為您稍後會在設定成本管理連接器時使用它。
  12. 或者,新增標籤。 您可以輸入任何標籤,例如 或略過此步驟。 在成本管理中建立連接器不需要此步驟。
  13. 選取 [ 建立角色]。

在 Azure 中設定 AWS 的新連接器

使用下列資訊來建立 AWS 連接器,並開始監視 AWS 成本。

注意

如果您在初始設定期間將自動更新組態設為 [開啟],則 AWS 的 連線 or 會在試用期結束后維持作用中。 否則,連接器會在試用後停用。 在永久刪除之前,它可能會保持停用三個月。 刪除連接器之後,就無法重新啟用相同的連線。 如需已停用連接器的協助,或在刪除後建立新的連線,請在 Azure 入口網站 中建立支援要求。

必要條件

  • 請確定您至少已啟用一個管理群組。 需要有管理群組,才能將您的訂用帳戶連結至 AWS 服務。 如需建立管理群組的詳細資訊,請參閱 在 Azure 中建立管理群組。
  • 請確定您是訂用帳戶的系統管理員。
  • 完成新 AWS 連接器所需的設定,如在 AWS 中建立成本和使用量報告一節中所述

建立新的連接器

  1. 登入 Azure 入口網站
  2. 流覽至 [成本管理 + 計費 ],並視需要選取計費範圍。
  3. 選取 [成本分析],然後選取 [設定]。
  4. 選取 AWS 連線 ors。
  5. 選取 [ 新增連接器]。
  6. 在 [建立連接器] 頁面上的 [顯示名稱] 中,輸入連接器的名稱。
    顯示您設定的 [建立連接器] 頁面和 AWS 連接器的螢幕快照。
  7. 選擇性地選取預設管理群組。 它會儲存所有探索到的連結帳戶。 您可以稍後進行設定。
  8. 在 [計費]段中,如果您想要確保持續作業,請選取 [自動更新開啟]。 如果您選取自動選項,則必須選取計費訂用帳戶。
  9. 針對 [ 角色 ARN],輸入您在 AWS 中設定角色時所使用的值。
  10. 針對 [外部標識符],輸入您在 AWS 中設定角色時所使用的值。
  11. 針對 [ 報表名稱],輸入您在 AWS 中建立的名稱。
  12. 選取 [ 下一步] ,然後選取 [ 建立]。

新的 AWS 範圍、AWS 合併帳戶、AWS 連結帳戶及其成本數據可能需要數小時的時間才會出現。

建立連接器之後,建議您將訪問控制指派給它。 用戶會獲指派許可權給新探索的範圍:AWS 合併帳戶和 AWS 連結帳戶。 建立連接器的使用者是連接器的擁有者、合併的帳戶,以及所有連結的帳戶。

在探索發生之後將連接器許可權指派給使用者,並不會將許可權指派給現有的AWS範圍。 相反地,只有新的鏈接帳戶會獲指派許可權。

採取其他步驟

  • 如果您尚未設定管理群組,請加以設定。
  • 檢查新的範圍是否已新增至您的範圍選擇器。 選取 [ 重新整理 ] 以檢視最新的數據。
  • 在 [ 雲端連接器] 頁面上,選取您的連接器,然後選取 [移至計費帳戶],將連結的帳戶 指派給管理群組。

注意

Microsoft 客戶合約 (MCA) 客戶目前不支援管理群組。 MCA 客戶可以建立連接器及檢視其 AWS 資料。 不過,MCA 客戶無法在管理群組下同時檢視其 Azure 成本和 AWS 成本。

管理 AWS 連接器

當您在 AWS 連線 ors 頁面上選取連接器時,您可以:

  • 選取 [移至計費帳戶 ] 以檢視 AWS 合併帳戶的資訊。
  • 選取 [存取控制],以管理連接器的角色指派。
  • 選取 [編輯 ] 以更新連接器。 您無法變更 AWS 帳戶號碼,因為它會出現在 ARN 角色中。 但是您可以建立新的連接器。
  • 選取 [驗證 ] 以重新執行驗證測試,以確保成本管理可以使用連接器設定收集數據。

顯示 AWS 連接器詳細資料的螢幕快照。

設定 Azure 管理群組

將您的 Azure 訂用帳戶和 AWS 連結帳戶放在相同的管理群組中,以建立單一位置,您可以在其中查看跨雲端提供者資訊。 如果您想要使用管理群組設定 Azure 環境,請參閱 管理群組的初始設定。

如果您想要將成本分開,您可以建立只保留 AWS 連結帳戶的管理群組。

設定 AWS 合併帳戶

AWS 合併帳戶結合了多個 AWS 帳戶的計費和付款。 它也可作為 AWS 連結帳戶。 您可以使用 AWS 連接器頁面上的連結來檢視 AWS 合併帳戶的詳細數據。

顯示 AWS 合併帳戶詳細數據的螢幕快照。

從頁面,您可以:

  • 選取 [ 更新 ] 以大量更新 AWS 鏈接帳戶與管理群組的關聯。
  • 選取 [存取控制],以設定範圍的角色指派。

AWS 合併帳戶的許可權

根據預設,AWS 合併帳戶的許可權會根據 AWS 連接器許可權在帳戶建立時設定。 連接器建立者是擁有者。

您可以使用 AWS 合併帳戶的 [存取層級] 頁面來管理存取層級。 不過,AWS 連結帳戶不會繼承 AWS 合併帳戶的許可權。

設定 AWS 連結帳戶

AWS 連結帳戶是建立和管理 AWS 資源的位置。 鏈接的帳戶也會作為安全性界限。

您可以從此頁面:

  • 選取 [更新 ] 以更新 AWS 連結帳戶與管理群組的關聯。
  • 選取 [存取控制],為範圍設定角色指派。

顯示 AWS 連結帳戶頁面的螢幕快照。

AWS 連結帳戶的許可權

根據預設,根據 AWS 連接器許可權,在建立時會設定 AWS 連結帳戶的許可權。 連接器建立者是擁有者。 您可以使用 AWS 連結帳戶的 [存取層級] 頁面來管理存取層級。 AWS 連結帳戶不會繼承 AWS 合併帳戶的許可權。

AWS 連結帳戶一律繼承其所屬管理群組的許可權。

下一步