View a markdown version of this page

Connecter les ressources Azure - AWS DevOps Agent
Conditions préalablesEnregistrement des ressources Azure via le consentement de l'administrateurEnregistrement des ressources Azure via l'enregistrement des applicationsAttribuer des rôles AzureAssocier un abonnement à un espace agentGestion des connexions Azure Resources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connecter les ressources Azure

L'intégration d'Azure Resources permet à AWS DevOps l'agent de découvrir et d'étudier les ressources de vos abonnements Azure lors d'enquêtes sur des incidents. L'agent utilise Azure Resource Graph pour la découverte des ressources et peut accéder aux métriques, aux journaux et aux données de configuration dans votre environnement Azure.

Cette intégration suit un processus en deux étapes : enregistrer Azure au niveau du AWS compte, puis associer des abonnements Azure spécifiques à des espaces d'agent individuels.

Conditions préalables

Avant de connecter Azure Resources, assurez-vous d'avoir :

  • Accès à la console de AWS DevOps l'agent

  • Un compte Azure avec accès à l'abonnement cible

  • Pour la méthode de consentement de l'administrateur : un compte autorisé à effectuer le consentement de l'administrateur dans le Microsoft Entra ID

  • Pour la méthode d'enregistrement des applications : une application Entra autorisée à configurer les informations d'identification fédérées, et la fédération d'identité sortante activée sur votre compte AWS

La méthode Admin Consent utilise un flux basé sur le consentement avec l'application gérée par l' AWS DevOps agent.

Étape 1 : Commencez l'enregistrement

  1. Connectez-vous à la console AWS de gestion et accédez à la console de l' AWS DevOps agent

  2. Accédez à la page Capability Providers

  3. Localisez la section Azure Cloud et cliquez sur Enregistrer

  4. Sélectionnez la méthode d'enregistrement du consentement de l'administrateur

  1. Vérifiez les autorisations demandées

  2. Cliquez pour continuer : vous êtes redirigé vers la page de consentement de l'administrateur Microsoft Entra

  3. Connectez-vous avec un compte utilisateur principal autorisé à obtenir le consentement de l'administrateur

  4. Examiner et donner son accord pour la demande d' AWS DevOps agent

Étape 3 : Autorisation complète de l'utilisateur

  1. Après le consentement de l'administrateur, vous êtes invité à obtenir l'autorisation de l'utilisateur pour vérifier votre identité en tant que membre du locataire autorisé

  2. Connectez-vous avec un compte appartenant au même client Azure

  3. Après autorisation, vous êtes redirigé vers la console de l' AWS DevOps agent avec un statut de réussite

Étape 4 : Attribuer des rôles

Consultez la section Affectation de rôles Azure ci-dessous. Recherchez l'AWS DevOps agent lors de la sélection des membres.

Enregistrement des ressources Azure via l'enregistrement des applications

La méthode d'enregistrement des applications utilise votre propre application Entra avec des identifiants d'identité fédérés.

Étape 1 : Commencez l'enregistrement

  1. Dans la console de l' AWS DevOps agent, accédez à la page Capability Providers

  2. Localisez la section Azure Cloud et cliquez sur Enregistrer

  3. Sélectionnez la méthode d'enregistrement de l'application

Étape 2 : Créez et configurez votre application Entra

Suivez les instructions affichées dans la console pour :

  1. Activez la fédération des identités sortantes dans votre AWS compte (dans la console IAM, allez dans Paramètres du compte → Fédération des identités sortantes)

  2. Créez une application Entra dans votre identifiant Microsoft Entra ou utilisez-en une existante

  3. Configurer les informations d'identification fédérées sur l'application

Étape 3 : Fournissez les détails de l'enregistrement

Remplissez le formulaire d'inscription avec :

  • ID de locataire : votre identifiant de locataire Azure

  • Nom du locataire : nom d'affichage du locataire

  • ID client — L'identifiant de l'application (client) de l'application Entra que vous avez créée

  • Audience : identifiant d'audience pour l'identifiant fédéré

Étape 4 : Création du rôle IAM

Un rôle IAM est automatiquement créé lorsque vous soumettez l'enregistrement via la console. Cela permet à AWS DevOps l'agent d'assumer les informations d'identification et d'appelersts:GetWebIdentityToken.

Étape 5 : Attribuer des rôles

Consultez la section Affectation de rôles Azure ci-dessous. Recherchez l'application Entra que vous avez créée lors de la sélection des membres.

Étape 6 : Compléter l'enregistrement

  1. Confirmez la configuration dans la console de AWS DevOps l'agent

  2. Cliquez sur Soumettre pour terminer l'enregistrement

Attribuer des rôles Azure

Après l'enregistrement, accordez à l'application un accès en lecture à votre abonnement Azure. Cette étape est la même pour les méthodes de consentement de l'administrateur et d'enregistrement de l'application.

  1. Dans le portail Azure, accédez à votre abonnement cible

  2. Accédez au contrôle d'accès (IAM)

  3. Cliquez sur Ajouter > Ajouter une attribution de rôle

  4. Sélectionnez le rôle de lecteur et cliquez sur Suivant

  5. Cliquez sur Sélectionner les membres, recherchez l'application (soit AWS DevOps agent pour le consentement de l'administrateur, soit votre propre application Entra pour l'enregistrement de l'application)

  6. Sélectionnez l'application et cliquez sur Réviser + attribuer

  7. (Facultatif) Pour permettre à l'agent d'accéder aux clusters Azure Kubernetes Service (AKS), effectuez la configuration d'accès AKS suivante.

Configuration de l'accès AKS (facultatif)

Étape 1 : accès au niveau Azure Resource Manager (ARM)

Attribuez le rôle d'utilisateur du cluster de services Azure Kubernetes à l'application.

Sur le portail Azure, accédez à Abonnements → sélectionnez abonnement → Contrôle d'accès (IAM)Ajouter une attribution de rôle → sélectionnez Rôle utilisateur du cluster de services Azure Kubernetes → attribuer à l'application (soit AWS DevOps agent pour le consentement de l'administrateur, soit votre propre application Entra pour l'enregistrement des applications).

Cela couvre tous les clusters AKS inclus dans l'abonnement. Pour étendre la portée à des clusters spécifiques, attribuez-les plutôt au niveau du groupe de ressources ou du cluster individuel.

Étape 2 : Accès à l'API Kubernetes

Choisissez une option en fonction de la configuration d'authentification de votre cluster :

Option A : contrôle d'accès basé sur les rôles (RBAC) Azure pour Kubernetes (recommandé)

  1. Activez Azure RBAC sur le cluster s'il n'est pas déjà activé : Portail Azure → Cluster AKS → ParamètresConfiguration de sécuritéAuthentification et autorisation → sélectionnez Azure RBAC

  2. Attribuer un rôle en lecture seule : Portail Azure → Abonnements → sélectionner un abonnement → Contrôle d'accès (IAM)Ajouter une attribution de rôle → sélectionner Azure Kubernetes Service RBAC Reader → attribuer à l'application

Cela couvre tous les clusters AKS inclus dans l'abonnement.

Option B : Azure Active Directory (Azure AD) + Kubernetes RBAC

Utilisez-le si votre cluster utilise déjà la configuration d'authentification Azure AD par défaut et que vous préférez ne pas activer Azure RBAC. Cela nécessite une kubectl configuration par cluster.

  1. Enregistrez le manifeste suivant sous le nom devops-agent-reader.yaml :

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: devops-agent-reader
rules:
  - apiGroups: [""]
    resources: ["namespaces", "pods", "pods/log", "services", "events", "nodes"]
    verbs: ["get", "list"]
  - apiGroups: ["apps"]
    resources: ["deployments", "replicasets", "statefulsets", "daemonsets"]
    verbs: ["get", "list"]
  - apiGroups: ["metrics.k8s.io"]
    resources: ["pods", "nodes"]
    verbs: ["get", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: devops-agent-reader-binding
subjects:
  - kind: User
    name: "<SERVICE_PRINCIPAL_OBJECT_ID>"
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: devops-agent-reader
  apiGroup: rbac.authorization.k8s.io

  1. <SERVICE_PRINCIPAL_OBJECT_ID>Remplacez-le par l'ID d'objet de votre directeur de service. Pour le trouver : Portail Azure → Entra ID → Applications d'entreprise → recherchez le nom de l'application (soit AWS DevOps Agent pour le consentement de l'administrateur, soit votre propre application Entra pour l'enregistrement des applications).

  2. Appliquer à chaque cluster :

az aks get-credentials --resource-group <rg> --name <cluster-name>
kubectl apply -f devops-agent-reader.yaml

Rôle personnalisé le moins privilégié (facultatif)

Pour un contrôle d'accès plus strict, vous pouvez créer un rôle Azure personnalisé limité uniquement aux fournisseurs de ressources utilisés par l' AWS DevOps agent, au lieu du rôle général de lecteur :

{
  "Name": "AWS DevOps Agent - Azure Reader",
  "Description": "Least-privilege read-only access for AWS DevOps Agent incident investigations.",
  "Actions": [
    "Microsoft.AlertsManagement/*/read",
    "Microsoft.Compute/*/read",
    "Microsoft.ContainerRegistry/*/read",
    "Microsoft.ContainerService/*/read",
    "Microsoft.ContainerService/managedClusters/commandResults/read",
    "Microsoft.DocumentDB/*/read",
    "Microsoft.Insights/*/read",
    "Microsoft.KeyVault/vaults/read",
    "Microsoft.ManagedIdentity/*/read",
    "Microsoft.Monitor/*/read",
    "Microsoft.Network/*/read",
    "Microsoft.OperationalInsights/*/read",
    "Microsoft.ResourceGraph/resources/read",
    "Microsoft.ResourceHealth/*/read",
    "Microsoft.Resources/*/read",
    "Microsoft.Sql/*/read",
    "Microsoft.Storage/*/read",
    "Microsoft.Web/*/read"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{your-subscription-id}"
  ]
}

Associer un abonnement à un espace agent

Après avoir enregistré Azure au niveau du compte, associez des abonnements spécifiques à vos espaces d'agent :

  1. Dans la console AWS DevOps Agent, sélectionnez votre espace agent

  2. Accédez à l'onglet Fonctionnalités

  3. Dans la section Sources secondaires, cliquez sur Ajouter

  4. Sélectionnez Azure

  5. Fournissez l'ID d'abonnement pour l'abonnement Azure que vous souhaitez associer

  6. Cliquez sur Ajouter pour terminer l'association

Vous pouvez associer plusieurs abonnements au même espace agent pour donner à l'agent une visibilité sur l'ensemble de votre environnement Azure.

Gestion des connexions Azure Resources

  • Affichage des abonnements connectés : dans l'onglet Fonctionnalités, la section Sources secondaires répertorie tous les abonnements Azure connectés.

  • Supprimer un abonnement : pour déconnecter un abonnement d'un espace agent, sélectionnez-le dans la liste des sources secondaires et cliquez sur Supprimer. Cela n'affecte pas l'enregistrement au niveau du compte.

  • Suppression de l'enregistrement : pour supprimer complètement l'enregistrement Azure Cloud, rendez-vous sur la page Capability Providers et supprimez l'enregistrement. Toutes les associations Agent Space doivent d'abord être supprimées.