Plataforma FinOps Pier - Configurações Básicas Azure

Processo de Configurações Básicas para a Plataforma FinOps da Pier Cloud

Bem-vindo à Pier Cloud!

Esse documento possui como objetivo, ser um guia para que você possa preparar o ambiente, a fim de que a Pier Cloud realize a instalação dos produtos da Plataforma em sua conta.

O processo irá permitir à Pier Cloud informação de leitura de billing sem qualquer possibilidade de alteração ou deleção de dados de sua conta (Lighthouse). E também, acessos de leitura e edição de itens relacionados à otimização (CCA/Autofix).

As configurações presentes nesta documentação servem para habilitar os módulos: Lighthouse, CCA e Autofix para Azure.

Configurações do Produto:

• Lighthouse

Pré Requisito e Configuração - API Gerenciamento de Custos:

Este passo deve ser realizado por um usuário com a role de Enterprise Administrator.

Para verificar quem possui essa role, siga os passos abaixo no console Azure:

1. Acesse Cost Management + Billing;

2. Navegue até Access Control (IAM);

3. Na listagem de usuários, identifique quem tem a role de Enterprise Administrator.

Observação: Na imagem ilustrada abaixo, você pode tanto adicionar um Enterprise Administrator quanto verificar quais usuários já possuem essa permissão.

1. Autentique-se no browser com o usuário Enterprise Admin, através do console Azure;

2. Acesse este link: Role Assignments - Put - REST API (Azure Billing) | Microsoft Learn e clique em REST API Try It;

3. Ao clicar em Try It, se você tiver se autenticado anteriormente, será exibida a seguinte tela para confirmação. Caso esteja correto, continue.

3.1. Para configurar o passo 4, será necessário adquirir as informações que serão apresentadas no próximo passo e nos slides a seguir.

• BillingAccountName: Este parâmetro é o ID da conta de cobrança . Você pode encontrá-lo no portal do Azure na página de visão geral do Cost Management + Billing .

3.2. BillingRoleAssignmentName: Este parâmetro é um GUID exclusivo que você precisa fornecer. Você pode gerar um GUID usando o comando New-Guid PowerShell. Você também pode usar o site Online GUID / UUID Generator para gerar um GUID exclusivo. Copie o código, conforme ilustrado na imagem abaixo.

3.3. PrincipalId: Aqui onde encontramos o PincipalId, neste caso está identificado como Object ID , conforme ilustrado na imagem abaixo.

3.4. Tenant ID: Aqui conseguimos obter a informação do Tenant ID, Conforme ilustrado na imagem abaixo:

1. Ao se autenticar, você será direcionado à seguinte tela, onde serão solicitadas as informações do Service Principal que terá acesso de leitura à API de Billing.

• Na imagem ao lado, os campos destacados em vermelho e numerados correspondem aos passos anteriores, indicando onde encontrar o ID de cada campo.

1. Insira as informações abaixo nos campos correspondentes:

Parameters:

• billingAccountName: O ID de sua conta de cobrança, pode ser obtido no portal Azure no Cost Management + Billing > Properties > Billing Account ID

• billingRoleAssignmentName: UUID único que pode ser gerado programaticamente ou através de um site como https://www.uuidgenerator.net/ por exemplo.

• api-version: Mantenha a versão preenchida automaticamente - No momento de escrita desse documento é a versão 2019-10-01-preview

1. Copie as seguintes informações e anote:

• O principal ID, que será o Object ID da Enterprise Application.

• O Tenant ID, que pode ser coletado na mesma tela de criação do Service Principal.

• Role Definition Id - Sempre será o seguinte: /providers/Microsoft.Billing/billingAccounts/billingAccountName/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e

1. Insira as informações nos campos correspondentes, conforme abaixo:

• Body: substitua os valores entre "aspas duplas" pelos dados coletados anteriormente.

• Observação: Os campos destacados em vermelho precisam ser substituídos pelos valores indicados. A numeração refere-se ao passo em que as informações foram obtidas, como ilustrado na imagem abaixo.

1. Remova as chaves e copie o bloco no espaço de Body na página:

1. Com todos os campos preenchidos, clique em Run > o retorno deve ser uma resposta HTTP 200 informando que a chamada ocorreu com sucesso.

2. Pronto, a configuração está concluída. Abaixo um resumo das informações que deverá enviar para a Pier Cloud.

   • Azure Tenant ID (Link)

   • Billing Account ID - (Pode ser obtido no portal Azure no Cost Management + Billing > Properties > Billing Account ID)

   • Service Principal (Application Id, Secret) - Criado no passo anterior

Acesso aos Compromissos de Reservas e Savings Plans

Permissões de Compromissos

Utilizaremos o mesmo Service Principal criado anteriormente. O adicionaremos em uma role com permissão Reader em cada Reservation/Savings Plans Order ID. Com isso teremos a permissão para a leitura dos dados de utilização de Reservas ou Savings Plans.

• Esse processo precisa ser realizado em cada uma das Reservas ou Savings Plans.

Configurações dos Produtos:

• CCA - Cloud Compliance Analyzer

• Autofix

Verifique suas permissões no Azure AD

• No Portal Azure, selecione o Microsoft Entra ID (Azure Active Directory também vai encontrar);

• Encontre sua função em Overview>My feed. Se sua função for de User, você deve se assegurar que outros perfis além de Administrador possa registrar aplicações;

• No painel lateral esquerdo, selecione Users e depois User settings;

• Verifique as configurações do App registrations setting. Esse valor só pode ser estabelecido pelo administrador. Se configurado como Yes, qualquer usuário no tenant Azure AD pode registrar um app.

Atenção: Se as configurações estiverem como NO, somente alguém no papel de administrador poderá fazer esta configuração.

1. Entre na sua conta pelo Portal e acesse o menu Microsoft Entra ID. Esse Service Principal poderá ser utilizado para o Lighthouse, CCA, Reservas e Savings Plans.

1. Na seção Microsoft Entra ID selecione a opção App Registrations no menu lateral.

1. Clique no botão + Add, depois selecione a opção App Registration.

1. Informe o nome desejado para a Aplicação, na seção Supported account types escolha a opção Accounts in any organizational directory (Multitenant), finalize clicando em Register.

1. Após a criação da aplicação, gere uma secret.

1. Clique no botão + New client secret, no form ao lado clique no botão Add.

1. Copie o valor da secret gerada, a data de expiração e salve em um bloco de notas.

1. Clique em Overview e copie os valores Application (client) ID, Directory (tenant) ID e salve junto às informações anteriores.

1. Agora que temos o Service principal criado, para finalizar o processo, será necessário criar uma Custom role, no Tenant Root. Na barra de busca, procure por Management Group e depois clique no Tenant Root.

1. Agora, clique em Access control (IAM) e na sequência em + Add, Add custom role.

1. Agora, clique em JSON

1. Aqui clique em Edit.

1. Nesse arquivo JSON, adicione o ID TENANT ROOT GROUP, da sua conta, copie o código e cole, no passo seguinte.

1. Aqui cole o código, salve a configuração em seguida clique em Review + create, conforme imagem abaixo:

1. Para finalizar clique em Create.

1. Agora, clique em Access control (IAM) e na sequência em + Add e Add role assignment.

1. Nesse passo na caixa de pesquisa, procure pelo nome da role que foi criada no passo anterior, em seguida selecione a role criada, depois clique em Next.

1. Clique na opção Select members, ao abrir a caixa de pesquisa do lado direito, pesquise pelo service principal criado, em seguida clique em Select e Next.

1. Para finalizar clique em Review + assign.

1. Abaixo estão as informações que deverão ser enviadas para a Pier Cloud:

• ClientID(Application ID);

• Secret - O value da Secret e o Secret ID;

• Expires - Data de expiração da secret;

• TenantID.