As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conectando recursos do Azure
A integração com os Recursos do Azure permite que o AWS DevOps Agente descubra e investigue recursos em suas assinaturas do Azure durante investigações de incidentes. O agente usa o Azure Resource Graph para descobrir recursos e pode acessar métricas, registros e dados de configuração em seu ambiente do Azure.
Essa integração segue um processo de duas etapas: registrar o Azure no nível da AWS conta e associar assinaturas específicas do Azure a Agent Spaces individuais.
Pré-requisitos
Antes de conectar os Recursos do Azure, verifique se você tem:
Acesso ao console do AWS DevOps agente
Uma conta do Azure com acesso à assinatura de destino
Para o método de consentimento do administrador: uma conta com permissão para realizar o consentimento do administrador no Microsoft Entra ID
Para o método de registro de aplicativos: um aplicativo Entra com permissões para configurar credenciais de identidade federada e federação de identidade de saída ativada em sua conta AWS
Registrando recursos do Azure por meio do consentimento do administrador
O método Admin Consent usa um fluxo baseado em consentimento com o aplicativo gerenciado pelo AWS DevOps agente.
Etapa 1: iniciar o registro
Faça login no console AWS de gerenciamento e navegue até o console do AWS DevOps agente
Acesse a página Provedores de Capacidades
Localize a seção Azure Cloud e clique em Registrar
Selecione o método de registro do Admin Consent
Etapa 2: Consentimento completo do administrador
Revise as permissões que estão sendo solicitadas
Clique para continuar — você será redirecionado para a página de consentimento do administrador do Microsoft Entra
Faça login com uma conta principal de usuário que tenha permissão para realizar o consentimento do administrador
Revise e conceda consentimento para a inscrição do AWS DevOps Agente
Etapa 3: Concluir a autorização do usuário
Após o consentimento do administrador, você receberá uma solicitação de autorização do usuário para verificar sua identidade como membro do inquilino autorizado
Entre com uma conta pertencente ao mesmo locatário do Azure
Após a autorização, você é redirecionado de volta para o console do AWS DevOps agente com um status de sucesso
Etapa 4: atribuir funções
Consulte Atribuição de funções do Azure abaixo. Procure um AWS DevOps agente ao selecionar membros.
Registrando recursos do Azure por meio do registro de aplicativos
O método de registro do aplicativo usa seu próprio aplicativo Entra com credenciais de identidade federadas.
Etapa 1: iniciar o registro
No console do AWS DevOps agente, acesse a página Capability Providers
Localize a seção Azure Cloud e clique em Registrar
Selecione o método de registro do aplicativo
Etapa 2: Crie e configure seu aplicativo Entra
Siga as instruções exibidas no console para:
Ative a federação de identidade de saída em sua AWS conta (no console do IAM, acesse Configurações da conta → Federação de identidade de saída)
Crie um aplicativo Entra em seu Microsoft Entra ID ou use um existente
Configurar credenciais de identidade federada no aplicativo
Etapa 3: fornecer detalhes do registro
Preencha o formulário de inscrição com:
ID do inquilino — Seu identificador de inquilino do Azure
Nome do inquilino — Um nome de exibição para o inquilino
ID do cliente — O ID do aplicativo (cliente) do aplicativo Entra que você criou
Público — O identificador de público para a credencial federada
Etapa 4: criar a função do IAM
Uma função do IAM será criada automaticamente quando você enviar o registro pelo console. Ele permite que o AWS DevOps Agente assuma as credenciais e invoque. sts:GetWebIdentityToken
Etapa 5: atribuir funções
Consulte Atribuição de funções do Azure abaixo. Pesquise o aplicativo Entra que você criou ao selecionar membros.
Etapa 6: Concluir o registro
Confirme a configuração no console do AWS DevOps agente
Clique em Enviar para concluir o registro
Atribuição de funções do Azure
Após o registro, conceda ao aplicativo acesso de leitura à sua assinatura do Azure. Essa etapa é a mesma para os métodos de consentimento do administrador e registro do aplicativo.
No Portal do Azure, navegue até sua assinatura de destino
Vá para Controle de acesso (IAM)
Clique em Adicionar > Adicionar atribuição de função
Selecione a função Leitor e clique em Avançar
Clique em Selecionar membros, pesquise o aplicativo (AWS DevOps Agente para consentimento do administrador ou seu próprio aplicativo Entra para registro do aplicativo)
Selecione o aplicativo e clique em Revisar + atribuir
(Opcional) Para permitir que o agente acesse clusters do Azure Kubernetes Service (AKS), conclua a seguinte configuração de acesso ao AKS.
Configuração de acesso AKS (opcional)
Etapa 1: acesso no nível do Azure Resource Manager (ARM)
Atribua a função de usuário do Azure Kubernetes Service Cluster ao aplicativo.
No Portal do Azure, acesse Assinaturas → selecione assinatura → Controle de Acesso (IAM) → Adicionar atribuição de função → selecione Função de Usuário do Azure Kubernetes Service Cluster → atribuir ao aplicativo (AWS DevOps Agente para Consentimento do Administrador ou seu próprio aplicativo Entra para Registro do Aplicativo).
Isso abrange todos os clusters do AKS na assinatura. Para definir o escopo para clusters específicos, atribua no nível do grupo de recursos ou do cluster individual.
Etapa 2: acesso à API Kubernetes
Escolha uma opção com base na configuração de autenticação do seu cluster:
Opção A: Controle de Acesso Baseado em Função (RBAC) do Azure para Kubernetes (recomendado)
Ative o Azure RBAC no cluster, se ainda não estiver habilitado: Portal do Azure → Cluster AKS → Configurações → Configuração de segurança → Autenticação e autorização → selecione Azure RBAC
Atribuir função somente para leitura: Portal do Azure → Assinaturas → selecionar assinatura → Controle de acesso (IAM) → Adicionar atribuição de função → selecionar Azure Kubernetes Service RBAC Reader → atribuir ao aplicativo
Isso abrange todos os clusters do AKS na assinatura.
Opção B: Azure Active Directory (Azure AD) + Kubernetes RBAC
Use isso se seu cluster já usa a configuração padrão de autenticação do Azure AD e você prefere não habilitar o RBAC do Azure. Isso requer kubectl configuração por cluster.
Salve o seguinte manifesto como
devops-agent-reader.yaml:
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: devops-agent-reader rules: - apiGroups: [""] resources: ["namespaces", "pods", "pods/log", "services", "events", "nodes"] verbs: ["get", "list"] - apiGroups: ["apps"] resources: ["deployments", "replicasets", "statefulsets", "daemonsets"] verbs: ["get", "list"] - apiGroups: ["metrics.k8s.io"] resources: ["pods", "nodes"] verbs: ["get", "list"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: devops-agent-reader-binding subjects: - kind: User name: "<SERVICE_PRINCIPAL_OBJECT_ID>" apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: devops-agent-reader apiGroup: rbac.authorization.k8s.io
<SERVICE_PRINCIPAL_OBJECT_ID>Substitua pelo ID do objeto do seu diretor de serviço. Para encontrá-lo: Portal do Azure → Inserir ID → Aplicativos corporativos → pesquise o nome do aplicativo (AWS DevOps Agente para consentimento do administrador ou seu próprio aplicativo Entra para registro do aplicativo).Aplique a cada cluster:
az aks get-credentials --resource-group <rg> --name <cluster-name> kubectl apply -f devops-agent-reader.yaml
Função personalizada com menos privilégios (opcional)
Para um controle de acesso mais rígido, você pode criar uma função personalizada do Azure com escopo exclusivo para os provedores de recursos que o AWS DevOps Agente usa, em vez da função ampla do Reader:
{ "Name": "AWS DevOps Agent - Azure Reader", "Description": "Least-privilege read-only access for AWS DevOps Agent incident investigations.", "Actions": [ "Microsoft.AlertsManagement/*/read", "Microsoft.Compute/*/read", "Microsoft.ContainerRegistry/*/read", "Microsoft.ContainerService/*/read", "Microsoft.ContainerService/managedClusters/commandResults/read", "Microsoft.DocumentDB/*/read", "Microsoft.Insights/*/read", "Microsoft.KeyVault/vaults/read", "Microsoft.ManagedIdentity/*/read", "Microsoft.Monitor/*/read", "Microsoft.Network/*/read", "Microsoft.OperationalInsights/*/read", "Microsoft.ResourceGraph/resources/read", "Microsoft.ResourceHealth/*/read", "Microsoft.Resources/*/read", "Microsoft.Sql/*/read", "Microsoft.Storage/*/read", "Microsoft.Web/*/read" ], "NotActions": [], "DataActions": [], "NotDataActions": [], "AssignableScopes": [ "/subscriptions/{your-subscription-id}" ] }
Associando uma assinatura a um Agent Space
Depois de registrar o Azure no nível da conta, associe assinaturas específicas aos seus Agent Spaces:
No console do AWS DevOps agente, selecione seu Espaço do agente
Vá para a guia Capacidades
Na seção Fontes secundárias, clique em Adicionar
Selecione Azure
Forneça a ID de assinatura para a assinatura do Azure que você deseja associar
Clique em Adicionar para concluir a associação
Você pode associar várias assinaturas ao mesmo Espaço do Agente para dar visibilidade ao agente em todo o seu ambiente do Azure.
Gerenciando conexões do Azure Resources
Visualizando assinaturas conectadas — Na guia Capacidades, a seção Fontes secundárias lista todas as assinaturas conectadas do Azure.
Removendo uma assinatura — Para desconectar uma assinatura de um Espaço do Agente, selecione-a na lista Fontes secundárias e clique em Remover. Isso não afeta o registro no nível da conta.
Removendo o registro — Para remover totalmente o registro do Azure Cloud, acesse a página Capability Providers e exclua o registro. Todas as associações do Agent Space devem ser removidas primeiro.
