Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Azure-Ressourcen verbinden
<a name="connecting-azure-connecting-azure-resources"></a>

Die Azure-Ressourcenintegration ermöglicht es dem AWS DevOps Agenten, bei der Untersuchung von Vorfällen Ressourcen in Ihren Azure-Abonnements zu erkennen und zu untersuchen. Der Agent verwendet Azure Resource Graph für die Ressourcenerkennung und kann auf Metriken, Protokolle und Konfigurationsdaten in Ihrer Azure-Umgebung zugreifen.

Diese Integration folgt einem zweistufigen Prozess: Registrieren Sie Azure auf AWS Kontoebene und verknüpfen Sie dann bestimmte Azure-Abonnements mit einzelnen Agent Spaces.

## Voraussetzungen
<a name="prerequisites"></a>

Bevor Sie Azure-Ressourcen verbinden, stellen Sie sicher, dass Sie über Folgendes verfügen:
+ Zugriff auf die AWS DevOps Agentenkonsole
+ Ein Azure-Konto mit Zugriff auf das Zielabonnement
+ Für die Admin-Zustimmungsmethode: ein Konto mit der Berechtigung, die Admin-Zustimmung in Microsoft Entra ID zu erteilen
+ Für die App-Registrierungsmethode: eine Entra-Anwendung mit Berechtigungen zur Konfiguration von föderierten Identitätsdaten und aktivierter [Outbound Identity Federation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-federation.html) in Ihrem Konto AWS 

**Hinweis:** Sie können die Registrierung auch von einem Agent Space aus starten. Navigieren Sie zu **Sekundäre Quellen**, klicken Sie auf **Hinzufügen** und wählen Sie **Azure** aus. Wenn Azure Cloud noch nicht registriert ist, führt Sie die Konsole zunächst durch die Registrierung.

## Registrierung von Azure-Ressourcen über die Zustimmung des Administrators
<a name="registering-azure-resources-via-admin-consent"></a>

Die Admin-Zustimmungsmethode verwendet einen auf Zustimmung basierenden Ablauf mit der vom AWS DevOps Agenten verwalteten Anwendung.

### Schritt 1: Starten Sie die Registrierung
<a name="step-1-start-the-registration"></a>

1. Melden Sie sich bei der AWS Management Console an und navigieren Sie zur AWS DevOps Agent-Konsole

1. Gehen Sie zur Seite **Capability Providers**

1. Suchen Sie den Bereich **Azure Cloud** und klicken Sie auf **Registrieren**

1. Wählen Sie die Registrierungsmethode **Admin Consent** aus

### Schritt 2: Vervollständigen Sie die Zustimmung des Administrators
<a name="step-2-complete-admin-consent"></a>

1. Überprüfen Sie die angeforderten Berechtigungen

1. Klicken Sie hier, um fortzufahren — Sie werden zur Microsoft Entra-Administrator-Zustimmungsseite weitergeleitet

1. Melden Sie sich mit einem Benutzer-Hauptkonto an, das berechtigt ist, die Zustimmung des Administrators zu erteilen

1. Überprüfen Sie den AWS DevOps Agent-Antrag und erteilen Sie ihm die Zustimmung

### Schritt 3: Vollständige Benutzerautorisierung
<a name="step-3-complete-user-authorization"></a>

1. Nach der Zustimmung des Administrators werden Sie zur Benutzerautorisierung aufgefordert, um Ihre Identität als Mitglied des autorisierten Mandanten zu überprüfen

1. Melden Sie sich mit einem Konto an, das demselben Azure-Mandanten gehört

1. Nach der Autorisierung werden Sie mit einem Erfolgsstatus zurück zur AWS DevOps Agent-Konsole weitergeleitet

### Schritt 4: Rollen zuweisen
<a name="step-4-assign-roles"></a>

Weitere Informationen finden Sie weiter unten unter [Zuweisen von Azure-Rollen](#assigning-azure-roles). Suchen Sie bei der Auswahl von Mitgliedern nach **AWS DevOps Agent**.

## Registrierung von Azure-Ressourcen über die App-Registrierung
<a name="registering-azure-resources-via-app-registration"></a>

Die Methode zur App-Registrierung verwendet Ihre eigene Entra-Anwendung mit föderierten Identitätsanmeldedaten.

### Schritt 1: Starten Sie die Registrierung
<a name="step-1-start-the-registration"></a>

1. Rufen Sie in der AWS DevOps Agent-Konsole die Seite **Capability Providers** auf

1. Suchen Sie den Bereich **Azure Cloud** und klicken Sie auf **Registrieren**

1. Wählen Sie die Methode zur **App-Registrierung** aus

### Schritt 2: Erstellen und konfigurieren Sie Ihre Entra-Anwendung
<a name="step-2-create-and-configure-your-entra-application"></a>

Folgen Sie den Anweisungen in der Konsole, um:

1. Aktivieren Sie Outbound Identity Federation in Ihrem AWS Konto (gehen Sie in der IAM-Konsole zu **Kontoeinstellungen** → **Outbound** Identity Federation)

1. Erstellen Sie eine Entra-Anwendung in Ihrer Microsoft Entra-ID oder verwenden Sie eine vorhandene

1. Konfigurieren Sie Anmeldeinformationen für föderierte Identitäten in der Anwendung

### Schritt 3: Geben Sie die Registrierungsdetails an
<a name="step-3-provide-registration-details"></a>

Füllen Sie das Anmeldeformular aus mit:
+ **Mandanten-ID** — Ihre Azure-Mandanten-ID
+ **Mandantenname** — Ein Anzeigename für den Mandanten
+ **Client-ID** — Die Anwendungs- (Client-) ID der von Ihnen erstellten Entra-Anwendung
+ **Zielgruppe** — Die Zielgruppen-ID für die Verbundanmeldedaten

### Schritt 4: Erstellen Sie die IAM-Rolle
<a name="step-4-create-the-iam-role"></a>

Eine IAM-Rolle wird automatisch erstellt, wenn Sie die Registrierung über die Konsole einreichen. Sie ermöglicht dem AWS DevOps Agenten, Anmeldeinformationen anzunehmen und aufzurufen`sts:GetWebIdentityToken`.

### Schritt 5: Rollen zuweisen
<a name="step-5-assign-roles"></a>

Weitere Informationen finden Sie weiter unten unter [Zuweisen von Azure-Rollen](#assigning-azure-roles). Suchen Sie nach der Entra-Anwendung, die Sie bei der Mitgliederauswahl erstellt haben.

### Schritt 6: Schließen Sie die Registrierung ab
<a name="step-6-complete-the-registration"></a>

1. Bestätigen Sie die Konfiguration in der AWS DevOps Agentenkonsole

1. Klicken Sie auf **Senden**, um die Registrierung abzuschließen

## Zuweisen von Azure-Rollen
<a name="assigning-azure-roles"></a>

Gewähren Sie der Anwendung nach der Registrierung Lesezugriff auf Ihr Azure-Abonnement. Dieser Schritt ist für die Methoden Admin Consent und App Registration identisch.

1. Navigieren Sie im Azure-Portal zu Ihrem Zielabonnement

1. Gehen Sie zu **Access Control (IAM**)

1. Klicken Sie auf **Hinzufügen** > **Rollenzuweisung hinzufügen**

1. Wählen Sie die Rolle **Leser** aus und klicken Sie auf **Weiter**

1. Klicken **Sie auf Mitglieder auswählen** und suchen Sie nach der Anwendung (entweder **AWS DevOps Agent** for Admin Consent oder Ihre eigene Entra-Anwendung für die App-Registrierung)

1. Wählen Sie die Anwendung aus und klicken Sie auf **Überprüfen \$1 Zuweisen**

1. (Optional) Damit der Agent auf Azure Kubernetes Service (AKS) -Cluster zugreifen kann, führen Sie die folgende Einrichtung für den AKS-Zugriff durch.

**Sicherheitsanforderung:** Dem Dienstprinzipal darf nur die Rolle **Reader** (und optional die unten aufgeführten schreibgeschützten AKS-Rollen) zugewiesen werden. Die Rolle Reader dient als Sicherheitsgrenze, die den Agenten auf schreibgeschützte Operationen beschränkt und die Auswirkungen indirekter Prompt-Injection-Angriffe begrenzt. Durch die Zuweisung von Rollen mit Schreib- oder Aktionsberechtigungen wird der Explosionsradius von Prompt Injection erheblich erhöht, was zu einer Beeinträchtigung der Azure-Ressourcen führen kann. AWS DevOps Der Agent führt nur Lesevorgänge durch. Der Agent ändert, erstellt oder löscht keine Azure-Ressourcen.

### Einrichtung des AKS-Zugriffs (optional)
<a name="aks-access-setup-optional"></a>

#### Schritt 1: Zugriff auf Azure Resource Manager (ARM) -Ebene
<a name="step-1-azure-resource-manager-arm-level-access"></a>

Weisen Sie der Anwendung die **Azure Kubernetes Service Cluster-Benutzerrolle** zu.

Gehen Sie im Azure-Portal zu **Abonnements** → wählen Sie Abonnement → **Zugriffskontrolle (IAM)** → **Rollenzuweisung hinzufügen** → wählen Sie **Azure Kubernetes Service Cluster-Benutzerrolle** aus → weisen Sie sie der Anwendung zu (entweder **AWS DevOps Agent** for Admin Consent oder Ihre eigene Entra-Anwendung für die App-Registrierung).

Dies deckt alle AKS-Cluster im Abonnement ab. Um den Bereich auf bestimmte Cluster zu beschränken, weisen Sie ihn stattdessen auf der Ebene der Ressourcengruppe oder des einzelnen Clusters zu.

#### Schritt 2: Kubernetes-API-Zugriff
<a name="step-2-kubernetes-api-access"></a>

Wählen Sie eine Option, die auf der Authentifizierungskonfiguration Ihres Clusters basiert:

**Option A: Azure Role-Based Access Control (RBAC) für Kubernetes (empfohlen)**

1. ****Aktivieren Sie Azure RBAC auf dem Cluster, falls es nicht bereits aktiviert ist: Azure-Portal → AKS-Cluster → **Einstellungen → **Sicherheitskonfiguration** → Authentifizierung und Autorisierung → wählen Sie** Azure RBAC****

1. Weisen Sie eine schreibgeschützte Rolle zu: Azure-Portal → **Abonnements** → Abonnement auswählen → **Zugriffskontrolle (IAM)** → **Rollenzuweisung hinzufügen → **Azure Kubernetes** Service RBAC** Reader auswählen → der Anwendung zuweisen

Dies deckt alle AKS-Cluster im Abonnement ab.

**Option B: Azure Active Directory (Azure AD) \$1 Kubernetes RBAC**

Verwenden Sie diese Option, wenn Ihr Cluster bereits die standardmäßige Azure AD-Authentifizierungskonfiguration verwendet und Sie Azure RBAC nicht aktivieren möchten. Dies erfordert eine Einrichtung pro Cluster`kubectl`.

1. Speichern Sie das folgende Manifest unter: `devops-agent-reader.yaml`

```
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: devops-agent-reader
rules:
  - apiGroups: [""]
    resources: ["namespaces", "pods", "pods/log", "services", "events", "nodes"]
    verbs: ["get", "list"]
  - apiGroups: ["apps"]
    resources: ["deployments", "replicasets", "statefulsets", "daemonsets"]
    verbs: ["get", "list"]
  - apiGroups: ["metrics.k8s.io"]
    resources: ["pods", "nodes"]
    verbs: ["get", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: devops-agent-reader-binding
subjects:
  - kind: User
    name: "<SERVICE_PRINCIPAL_OBJECT_ID>"
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: devops-agent-reader
  apiGroup: rbac.authorization.k8s.io
```

1. `<SERVICE_PRINCIPAL_OBJECT_ID>`Ersetzen Sie es durch die Objekt-ID Ihres Service Principals. Um sie zu finden: Azure-Portal → Entra ID → Unternehmensanwendungen → suchen Sie nach dem Namen der Anwendung (entweder **AWS DevOps Agent** for Admin Consent oder Ihre eigene Entra-Anwendung für die App-Registrierung).

1. Auf jeden Cluster anwenden:

```
az aks get-credentials --resource-group <rg> --name <cluster-name>
kubectl apply -f devops-agent-reader.yaml
```

**Hinweis:** Cluster, die nur lokale Konten (ohne Azure AD) verwenden, werden nicht unterstützt. Wir empfehlen, die Azure AD-Integration in Ihrem Cluster zu aktivieren, um diese Funktion nutzen zu können.

### Benutzerdefinierte Rolle mit den geringsten Rechten (optional)
<a name="least-privileged-custom-role-optional"></a>

Für eine strengere Zugriffskontrolle können Sie eine benutzerdefinierte Azure-Rolle erstellen, die nur auf die Ressourcenanbieter beschränkt ist, die der AWS DevOps Agent verwendet, und nicht auf die allgemeine Leserrolle:

```
{
  "Name": "AWS DevOps Agent - Azure Reader",
  "Description": "Least-privilege read-only access for AWS DevOps Agent incident investigations.",
  "Actions": [
    "Microsoft.AlertsManagement/*/read",
    "Microsoft.Compute/*/read",
    "Microsoft.ContainerRegistry/*/read",
    "Microsoft.ContainerService/*/read",
    "Microsoft.ContainerService/managedClusters/commandResults/read",
    "Microsoft.DocumentDB/*/read",
    "Microsoft.Insights/*/read",
    "Microsoft.KeyVault/vaults/read",
    "Microsoft.ManagedIdentity/*/read",
    "Microsoft.Monitor/*/read",
    "Microsoft.Network/*/read",
    "Microsoft.OperationalInsights/*/read",
    "Microsoft.ResourceGraph/resources/read",
    "Microsoft.ResourceHealth/*/read",
    "Microsoft.Resources/*/read",
    "Microsoft.Sql/*/read",
    "Microsoft.Storage/*/read",
    "Microsoft.Web/*/read"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{your-subscription-id}"
  ]
}
```

## Ein Abonnement einem Agent Space zuordnen
<a name="associating-a-subscription-with-an-agent-space"></a>

Nachdem Sie Azure auf Kontoebene registriert haben, ordnen Sie Ihren Agent Spaces bestimmte Abonnements zu:

1. Wählen Sie in der AWS DevOps Agent-Konsole Ihren Agent Space aus

1. Gehen Sie zur Registerkarte **Funktionen**

1. Klicken Sie im Abschnitt **Sekundäre Quellen** auf **Hinzufügen**

1. Wählen Sie **Azure** aus

1. Geben Sie die **Abonnement-ID** für das Azure-Abonnement an, das Sie verknüpfen möchten

1. Klicken Sie auf **Hinzufügen**, um die Zuordnung abzuschließen

Sie können mehrere Abonnements demselben Agent Space zuordnen, um dem Agenten Transparenz in Ihrer Azure-Umgebung zu bieten.

## Verwaltung von Azure Resources-Verbindungen
<a name="managing-azure-resources-connections"></a>
+ **Verbundene Abonnements anzeigen** — Auf der Registerkarte **Funktionen** werden im Abschnitt **Sekundäre Quellen** alle verbundenen Azure-Abonnements aufgeführt.
+ Abonnement **entfernen — Um ein Abonnement** von einem Agent Space zu trennen, wählen Sie es in der Liste **Sekundäre Quellen** aus und klicken Sie auf **Entfernen**. Dies hat keine Auswirkungen auf die Registrierung auf Kontoebene.
+ **Registrierung entfernen — Um die** Azure Cloud-Registrierung vollständig zu entfernen, rufen Sie die Seite **Capability Providers** auf und löschen Sie die Registrierung. Alle Agent Space-Verknüpfungen müssen zuerst entfernt werden.