Conectando-se a uma conta do Azure CSP

Processo de Configurações Básicas para a Plataforma FinOps da Pier Cloud

Bem-vindo à Pier Cloud!

Esse documento possui como objetivo, ser um guia para que você possa preparar o ambiente, a fim de que a Pier Cloud realize a instalação dos produtos da Plataforma em sua conta.

O processo irá permitir à Pier Cloud informação de leitura de billing sem qualquer possibilidade de alteração ou deleção de dados de sua conta (Lighthouse). E também, acessos de leitura e edição de itens relacionados à otimização (CCA/Autofix).

As configurações presentes nesta documentação servem para habilitar os módulos: Lighthouse, CCA e Autofix para Azure.

Conectar uma conta do Azure EA

Pré-requisitos:

  • No PierCloud, você deve ter o perfil Organization Super Admin para criar uma nova conexão.

  • No Azure, você deve ter a role de Enterprise admin no billing account que planeja conectar para poder atribuir permissões à entidade de serviço.

Para conectar uma conta do Azure EA a PierCloud, conclua as seguintes etapas:

  1. Recuperar IDs do Azure.

  2. Configure a conexão na PierCloud.

  3. Autorize a entidade de serviço da PierCloud no Azure.

  4. Conceda à entidade de serviço acesso à API de Cobrança do Azure.

  5. Veja os detalhes da conexão do Azure na PierCloud.

Configurações do Produto:

  • Lighthouse

Pré Requisito e Configuração - API Gerenciamento de Custos:

No ambiente da Azure:

Este passo deve ser realizado por um usuário com a role de Enterprise Administrator.

Para verificar quem possui essa role, siga os passos abaixo no console Azure:

  1. Acesse Cost Management + Billing;

  2. Navegue até Access Control (IAM);

  3. Na listagem de usuários, identifique quem tem a role de Enterprise Administrator.

Observação:

Na imagem ilustrada abaixo, você pode tanto adicionar um Enterprise Administrator quanto verificar quais usuários já possuem essa permissão.

  1. Autentique-se no browser com o usuário Enterprise Admin, através do console Azure;

  2. Acesse este link: Role Assignments - Put - REST API (Azure Billing) | Microsoft Learn e clique em REST API Try It;

  3. Ao clicar em Try It, se você tiver se autenticado anteriormente, será exibida a seguinte tela para confirmação. Caso esteja correto, continue.

3.1. Para configurar o passo 4, será necessário adquirir as informações que serão apresentadas no próximo passo a seguir.

  • BillingAccountName: Este parâmetro é o ID da conta de cobrança . Você pode encontrá-lo no portal do Azure na página de visão geral do Cost Management + Billing .

3.2. BillingRoleAssignmentName: Este parâmetro é um GUID exclusivo que você precisa fornecer. Você pode gerar um GUID usando o comando New-Guid PowerShell. Você também pode usar o site Online GUID / UUID Generator para gerar um GUID exclusivo. Copie o código, conforme ilustrado na imagem abaixo.

3.3. PrincipalId: Aqui onde encontramos o PincipalId, neste caso está identificado como Object ID , conforme ilustrado na imagem abaixo.

3.4. Tenant ID: Aqui conseguimos obter a informação do Tenant ID, Conforme ilustrado na imagem abaixo:

  1. Ao se autenticar, você será direcionado à seguinte tela, onde serão solicitadas as informações do Service Principal que terá acesso de leitura à API de Billing.

  • Na imagem ao lado, os campos destacados em vermelho e numerados correspondem aos passos anteriores, indicando onde encontrar o ID de cada campo.

  1. Insira as informações abaixo nos campos correspondentes:

Parameters:

  • billingAccountName: O ID de sua conta de cobrança, pode ser obtido no portal Azure no Cost Management + Billing > Properties > Billing Account ID

  • billingRoleAssignmentName: UUID único que pode ser gerado programaticamente ou através de um site como https://www.uuidgenerator.net/ por exemplo.

  • api-version: Mantenha a versão preenchida automaticamente - No momento de escrita desse documento é a versão 2019-10-01-preview

  1. Copie as seguintes informações e anote:

  • O principal ID, que será o Object ID da Enterprise Application.

  • O Tenant ID, que pode ser coletado na mesma tela de criação do Service Principal.

  • Role Definition Id - Sempre será o seguinte: /providers/Microsoft.Billing/billingAccounts/billingAccountName/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e

  1. Insira as informações nos campos correspondentes, conforme abaixo:

  • Body: substitua os valores entre "aspas duplas" pelos dados coletados anteriormente.

Observação:

Os campos destacados em vermelho precisam ser substituídos pelos valores indicados. A numeração refere-se ao passo em que as informações foram obtidas, como ilustrado na imagem abaixo.

  1. Remova as chaves e copie o bloco no espaço de Body na página:

  1. Com todos os campos preenchidos, clique em Run > o retorno deve ser uma resposta HTTP 200 informando que a chamada ocorreu com sucesso.

  2. Pronto, a configuração está concluída. Abaixo um resumo das informações que deverá enviar para a Pier Cloud.

    • Azure Tenant ID (Link)

    • Billing Account ID - (Pode ser obtido no portal Azure no Cost Management + Billing > Properties > Billing Account ID)

    • Service Principal (Application Id, Secret) - Criado no passo anterior

Acesso aos Compromissos de Reservas e Savings Plans

Permissões de Compromissos

Utilizaremos o mesmo Service Principal criado anteriormente. O adicionaremos em uma role com permissão Reader em cada Reservation/Savings Plans Order ID. Com isso teremos a permissão para a leitura dos dados de utilização de Reservas ou Savings Plans.

  • Esse processo precisa ser realizado em cada uma das Reservas ou Savings Plans.

Configurações dos Produtos:

  • CCA - Cloud Compliance Analyzer

  • Autofix

Verifique suas permissões no Azure AD

  • No Portal Azure, selecione o Microsoft Entra ID (Azure Active Directory também vai encontrar);

  • Encontre sua função em Overview>My feed. Se sua função for de User, você deve se assegurar que outros perfis além de Administrador possa registrar aplicações;

  • No painel lateral esquerdo, selecione Users e depois User settings;

  • Verifique as configurações do App registrations setting. Esse valor só pode ser estabelecido pelo administrador. Se configurado como Yes, qualquer usuário no tenant Azure AD pode registrar um app.

Atenção: Se as configurações estiverem como NO, somente alguém no papel de administrador poderá fazer esta configuração.

1. Entre na sua conta pelo Portal e acesse o menu Microsoft Entra ID. Esse Service Principal poderá ser utilizado para o Lighthouse, CCA, Reservas e Savings Plans.

  1. Na seção Microsoft Entra ID selecione a opção App Registrations no menu lateral.

  1. Clique no botão + Add, depois selecione a opção App Registration.

  1. Informe o nome desejado para a Aplicação, na seção Supported account types escolha a opção Accounts in any organizational directory (Multitenant), finalize clicando em Register.

  1. Após a criação da aplicação, gere uma secret.

  1. Clique no botão + New client secret, no form ao lado clique no botão Add.

  1. Copie o valor da secret gerada, a data de expiração e salve em um bloco de notas.

  1. Clique em Overview e copie os valores Application (client) ID, Directory (tenant) ID e salve junto às informações anteriores.

  1. Agora que temos o Service principal criado, para finalizar o processo, será necessário criar uma Custom role, no Tenant Root. Na barra de busca, procure por Management Group e depois clique no Tenant Root.

  1. Agora, clique em Access control (IAM) e na sequência em + Add, Add custom role.

  1. Agora, clique em JSON

  1. Aqui clique em Edit.

  1. Nesse arquivo JSON, adicione o ID TENANT ROOT GROUP, da sua conta, copie o código e cole, no passo seguinte.

  1. Aqui cole o código, salve a configuração em seguida clique em Review + create, conforme imagem abaixo:

  1. Para finalizar clique em Create.

  1. Agora, clique em Access control (IAM) e na sequência em + Add e Add role assignment.

  1. Nesse passo na caixa de pesquisa, procure pelo nome da role que foi criada no passo anterior, em seguida selecione a role criada, depois clique em Next.

  1. Clique na opção Select members, ao abrir a caixa de pesquisa do lado direito, pesquise pelo service principal criado, em seguida clique em Select e Next.

  1. Para finalizar clique em Review + assign.

No Plataforma da Pier Cloud:

Criação do Secret

  1. Clicando no ícone do perfil do usuário, na opção “Configurações”, conforme ilustrado abaixo:

  1. O sistema irá apresentar um menu lateral com algumas opções de configurações. Clique na funcionalidade "Segredos" e em seguida "Adicionar", conforme ilustrado abaixo:

  1. O sistema apresentará a tela para cadastro do segredo, onde será necessário preencher as seguintes informações:

  • Nome: Forneça um nome que identifique o segredo sendo criado.

  • Tipo: Selecione o tipo Azure Billing

  • Enrollment ID: Insira a informação do Billing Account ID coletada no passo 3.1 no ambiente da Azure.

  • API Key: Essa informação serão a combinação do enviroment + Secret +

  • App ID: Insira a informação do Application (client) ID copiada no passo 8, no ambiente da Azure.

  • Tenant ID: Insira a informação do Directory (tenant) ID copiada no passo 8, no ambiente da Azure.

  • Secret: Insira a informação do Valor do Secret copiada no passo 7, no ambiente da Azure.

  1. Ao concluir o preenchimente, clique no botão Salvar e o seu segredo será gerado.

Criação do Billing Connector

  1. Para prosseguir com a configuração, clique na funcionalidade Billing Connector no menu lateral, e em seguida clique em Adicionar Conector:

  1. O sistema apresentará a tela para cadastro do Billing Conector, onde será necessário preencher as seguintes informações:

  • Tipo: Selecione o tipo Padrão.

  • Cloud Provider: Selcione o tipo Azure (Microsoft Azure).

  • Identificação do Billing Connector: Forneça um nome que identifique o billing connector

  • Selecione o segredo para este conector de billing: Selecione o segredo criado no passo 2 referente a criação de Secret.

  • Tipo de Cobrança: Selecione o tipo de cobrança CSP.

  • Região: Selecione a opção "Padrão".

  1. Por fim, clique em Salvar e o seu billing conector do Azure CSP estará configurado com sucesso.

PreviousPlataforma FinOps Pier - Configurações Básicas AzureNextConectando a uma Conta Azure MOSP

Last updated