Impostare e configurare l'integrazione del report di costi e utilizzo di AWS

Nota

Il Connessione or per AWS nel servizio Gestione costi viene ritirato il 31 marzo 2025. Gli utenti devono prendere in considerazione soluzioni alternative per la creazione di report sulla gestione dei costi di AWS. Il 31 marzo 2024 Azure disabiliterà la possibilità di aggiungere nuovi Connessione ors per AWS per tutti i clienti. Per altre informazioni, vedere Ritirare il connettore Amazon Web Services (AWS).

Con l'integrazione dei report sui costi e sull'utilizzo di Amazon Web Services (AWS), è possibile monitorare e controllare la spesa aws in Gestione costi. L'integrazione consente di monitorare e controllare la spesa per Azure e AWS in un'unica posizione nel portale di Azure. Questo articolo illustra come configurare l'integrazione e configurarla in modo da poter usare le funzionalità di Gestione costi per analizzare i costi ed esaminare i budget.

Gestione costi elabora il report di costi e utilizzo di AWS archiviato in un bucket S3 usando le credenziali di accesso di AWS per ottenere le definizioni del report e scaricare i file CSV GZIP del report.

Creare un report di costi e utilizzo in AWS

L'uso di un report di costi e utilizzo è la modalità consigliata da AWS per raccogliere ed elaborare i costi di AWS. Il connettore multi-cloud Gestione costi supporta i report sui costi e sull'utilizzo configurati a livello di account di gestione (consolidato). Per altre informazioni, vedere la documentazione del Report di costi e utilizzo di AWS.

Usare la pagina Cost & Usage Reports (Report di costi e utilizzo) della console Billing and Cost Management in AWS per creare un report di costi e utilizzo seguendo questa procedura:

  1. Accedere alla Console di gestione AWS e aprire la console Billing and Cost Management.
  2. Nel riquadro di spostamento selezionare Cost & Usage Reports (Report di costi e utilizzo).
  3. Selezionare Create report (Crea report).
  4. In Report name (Nome report) immettere un nome per il report.
  5. In Additional report details (Ulteriori dettagli del report) selezionare Include resource IDs (Includi ID risorse).
  6. In Data refresh settings (Impostazioni aggiornamento dati) selezionare se si vuole aggiornare il report di costi e utilizzo di AWS quando quest'ultimo applica all'account rimborsi, crediti o costi di supporto dopo la finalizzazione della fattura. Quando un report viene aggiornato, un nuovo report viene caricato in Amazon S3. È consigliabile lasciare selezionata l'impostazione.
  7. Selezionare Avanti.
  8. Per S3 bucket (Bucket S3), scegliere Configure (Configura).
  9. Nella finestra di dialogo Configure S3 Bucket (Configura bucket S3) immettere un nome per il bucket e l'area in cui si vuole creare un nuovo bucket, quindi scegliere Next (Avanti).
  10. Selezionare Ho confermato che questo criterio è corretto, quindi selezionare Salva.
  11. (Facoltativo) In Report path prefix (Prefisso percorso report) immettere il prefisso del percorso del report che si vuole anteporre al nome del report.
    Se ignorato, il prefisso predefinito è il nome specificato per il report. L'intervallo di date ha il formato /report-name/date-range/.
  12. In Time unit (Unità di tempo) scegliere Hourly (Ogni ora).
  13. Per Controllo delle versioni dei report, scegliere se si desidera che ogni versione del report sovrascriva la versione precedente o se si desiderano più nuovi report.
  14. In Enable data integration for (Abilita integrazione dei dati per) non è necessaria alcuna selezione.
  15. In Compression (Compressione) selezionare GZIP.
  16. Selezionare Avanti.
  17. Dopo aver esaminato le impostazioni per il report, selezionare Rivedi e completa.
    Prendere nota del nome del report. Usarlo nei passaggi successivi.

Possono essere necessarie fino a 24 ore prima che AWS inizi a recapitare i report nel bucket Amazon S3. Dopo l'avvio del recapito, AWS aggiorna i file del report di costi e utilizzo di AWS almeno una volta al giorno. È possibile continuare a configurare l'ambiente AWS senza attendere l'avvio del recapito.

Nota

I report sui costi e sull'utilizzo configurati a livello di account membro (collegato) non sono attualmente supportati.

Creare un criterio e un ruolo in AWS

Gestione costi accede al bucket S3 in cui si trova il report Costi e utilizzo più volte al giorno. Il servizio necessita dell'accesso alle credenziali per verificare la presenza di nuovi dati. Per consentire a Gestione costi di accedere, creare un ruolo e un criterio in AWS.

Per abilitare l'accesso in base al ruolo a un account AWS in Gestione costi, il ruolo viene creato nella console di AWS. È necessario ottenere il ruolo ARN e l'ID esterno dalla console di AWS. Verranno usati più avanti nella pagina Crea un connettore AWS in Gestione costi.

Usare la creazione guidata criteri

  1. Accedere alla console AWS e selezionare Servizi.
  2. Nell'elenco dei servizi selezionare IAM.
  3. Selezionare Criteri.
  4. Selezionare Create policy (Crea criterio).
  5. Selezionare Choose a service (Scegli un servizio).

Configurare l'autorizzazione per il report Costi e utilizzo

  1. Immettere Report di costi e utilizzo.
  2. Selezionare Access level (Livello di accesso)>Read (Lettura)>DescribeReportDefinitions. Questo passaggio consente a Gestione costi di leggere i report di costi e utilizzo definiti e determinare se corrispondono al prerequisito di definizione del report.
  3. Selezionare Aggiungi altre autorizzazioni.

Configurare l'autorizzazione per il bucket e gli oggetti S3

  1. Selezionare Choose a service (Scegli un servizio).
  2. Immettere S3.
  3. Selezionare Access level (Livello di accesso)>List (Elenco)>ListBucket. Questa azione ottiene l'elenco di oggetti presenti nel bucket S3.
  4. Selezionare Access level (Livello di accesso)>Read (Lettura)>GetObject. Questa azione consente il download dei file di fatturazione.
  5. Selezionare Risorse>specifiche.
  6. Nel bucket selezionare il collegamento Aggiungi ARN per aprire un'altra finestra.
  7. In Nome bucket di risorse immettere il bucket usato per archiviare i file CUR.
  8. Selezionare Aggiungi ARN.
  9. Nell'oggetto selezionare Qualsiasi.
  10. Selezionare Aggiungi altre autorizzazioni.

Configurare l'autorizzazione per Esplora costi

  1. Selezionare Choose a service (Scegli un servizio).
  2. Immettere Servizio Cost Explorer.
  3. Selezionare Tutte le azioni del servizio Esplora costi (ce:*). Questa azione convalida la correttezza della raccolta.
  4. Selezionare Aggiungi altre autorizzazioni.

Aggiungere l'autorizzazione per le organizzazioni AWS

  1. Immettere Organizations.
  2. Selezionare Access level (Livello di accesso)>List (Elenco)>ListAccounts. Questa azione ottiene i nomi degli account.
  3. Selezionare Aggiungi altre autorizzazioni.

Configurare le autorizzazioni per i criteri

  1. Immettere IAM.
  2. Selezionare Elenco a livello > di accessoAttachedRolePolicies >e ListPolicyVersions e ListRoles.
  3. Selezionare Livello > di accesso Leggi >GetPolicyVersion.
  4. Selezionare Criteri risorse> e quindi selezionare Qualsiasi. Queste azioni consentono di verificare che al connettore sia stato concesso solo il set minimo necessario di autorizzazioni.
  5. Selezionare Avanti.

Rivedi e crea

  1. In Review Policy (Rivedi criterio) immettere un nome per il nuovo criterio. Verificare di aver immesso le informazioni corrette.
  2. Aggiungi i tag. È possibile immettere i tag da usare o ignorare questo passaggio. Questo passaggio non è necessario per creare un connettore in Gestione costi.
  3. Selezionare Crea criterio per completare questa procedura.

Il codice JSON del criterio deve essere simile all'esempio riportato di seguito. Sostituire bucketname con il nome del bucket S3, accountname con il numero di account e rolename con il nome del ruolo creato.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "iam:ListRoles",
                "ce:*",
                "cur:DescribeReportDefinitions"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket",
                "iam:GetPolicyVersion",
                "iam:ListPolicyVersions",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": [
                "arn:aws:s3:::bucketname",
                "arn:aws:s3:::bucketname/*",
                "arn:aws:iam::accountnumber:policy/*",
                "arn:aws:iam::accountnumber:role/rolename"
            ]
        }
    ]
}

Usare la procedura guidata Crea un nuovo ruolo

  1. Accedere alla console di AWS e selezionare Services (Servizi).
  2. Nell'elenco dei servizi selezionare IAM.
  3. Selezionare Roles (Ruoli) e quindi Create Role (Crea ruolo).
  4. Nella pagina Selezionare un'entità attendibile selezionare Account AWS e quindi in Un account AWS selezionare Un altro account AWS.
  5. In ID account immettere 432263259397.
  6. In Opzioni selezionare Richiedi ID esterno (procedura consigliata quando una terza parte assumerà questo ruolo).
  7. In ID esterno immettere l'ID esterno, ovvero un passcode condiviso tra il ruolo AWS e Gestione costi. Prendere nota dell'ID esterno, perché viene usato nella pagina Nuovo Connessione or in Gestione costi. Microsoft consiglia di usare un criterio per l'uso di passcode complessi quando si immette l'ID esterno. L'ID esterno deve essere conforme alle restrizioni AWS:
    • Tipo: Stringa
    • Vincoli di lunghezza: lunghezza minima di 2. Lunghezza massima di 1224.
    • Deve soddisfare il criterio di espressione regolare: [\w+=,.@: /-]*

    Nota

    Non modificare la selezione per Require MFA (Richiedi MFA). L'opzione deve rimanere deselezionata.

  8. Selezionare Avanti.
  9. Nella barra di ricerca cercare il nuovo criterio e selezionarlo.
  10. Selezionare Avanti.
  11. In Dettagli ruolo immettere un nome di ruolo. Verificare di aver immesso le informazioni corrette. Si noti il nome immesso perché viene usato in un secondo momento quando si configura il connettore Gestione costi.
  12. Facoltativamente, aggiungi tag. È possibile immettere qualsiasi tag come o ignorare questo passaggio. Questo passaggio non è necessario per creare un connettore in Gestione costi.
  13. Selezionare Create role (Crea ruolo).

Configurare un nuovo connettore per AWS in Azure

Usare le informazioni seguenti per creare un connettore AWS e iniziare a monitorare i costi di AWS.

Nota

Il Connessione or per AWS rimane attivo dopo il termine del periodo di valutazione se si imposta la configurazione di rinnovo automatico su durante l'installazione iniziale. In caso contrario, il connettore è disabilitato dopo la versione di valutazione. Può rimanere disabilitato per tre mesi prima che venga eliminato definitivamente. Dopo l'eliminazione del connettore, non è possibile riattivare la stessa connessione. Per assistenza con un connettore disabilitato o per creare una nuova connessione dopo l'eliminazione, creare una richiesta di supporto nella portale di Azure.

Prerequisiti

  • Assicurarsi di avere almeno un gruppo di gestione abilitato. È necessario un gruppo di gestione per collegare la sottoscrizione al servizio AWS. Per altre informazioni sulla creazione di un gruppo di gestione, vedere Creare un gruppo di gestione in Azure.
  • Assicurarsi di essere un amministratore della sottoscrizione.
  • Completare la configurazione necessaria per un nuovo connettore AWS, come descritto nella sezione Creare un report sui costi e sull'utilizzo in AWS .

Creare un nuovo connettore

  1. Accedere al portale di Azure.
  2. Passare a Gestione costi e fatturazione e selezionare un ambito di fatturazione, se necessario.
  3. Selezionare Analisi dei costi e quindi selezionare Impostazioni.
  4. Selezionare Connessione ors per AWS.
  5. Selezionare Aggiungi connettore.
  6. Nella pagina Crea connettore immettere un nome per il connettore in Nome visualizzato.
    Screenshot che mostra la pagina Crea connettore in cui si configura e un connettore AWS.
  7. Selezionare facoltativamente il gruppo di gestione predefinito. Archivia tutti gli account collegati individuati. È possibile configurarlo in seguito.
  8. Nella sezione Fatturazione selezionare Rinnovo automatico su On se si vuole assicurare il funzionamento continuo. Se si seleziona l'opzione di addebito automatico, è necessario selezionare una sottoscrizione di fatturazione.
  9. In Ruolo ARN immettere il valore usato durante la configurazione del ruolo in AWS.
  10. In ID esterno immettere il valore usato durante la configurazione del ruolo in AWS.
  11. In Nome del report immettere il nome creato in AWS.
  12. Selezionare Avanti e quindi Crea.

La visualizzazione dei nuovi ambiti AWS, dell'account AWS consolidato, degli account AWS collegati e dei relativi dati sui costi può richiedere alcune ore.

Dopo aver creato il connettore, è consigliabile assegnargli il controllo di accesso. Agli utenti vengono assegnate le autorizzazioni per gli ambiti appena individuati: account AWS consolidato e account aws collegati. L'utente che crea il connettore è il proprietario del connettore, dell'account consolidato e di tutti gli account collegati.

L'assegnazione delle autorizzazioni per il connettore agli utenti dopo l'individuazione non determina l'assegnazione delle autorizzazioni per gli ambiti AWS esistenti. Le autorizzazioni vengono infatti assegnate solo ai nuovi account collegati.

Eseguire altri passaggi

  • Configurare i gruppi di gestione, se non è già stato fatto.
  • Verificare che i nuovi ambiti siano stati aggiunti alla selezione ambiti. Selezionare Aggiorna per visualizzare i dati più recenti.
  • Nella pagina Connettori cloud selezionare il connettore e quindi Vai all'account di fatturazione per assegnare l'account collegato ai gruppi di gestione.

Nota

I gruppi di gestione non sono attualmente supportati per i clienti con Contratto del cliente Microsoft. I clienti con Contratto del cliente Microsoft possono creare il connettore e visualizzare i rispettivi dati di AWS. I clienti con Contratto del cliente Microsoft, tuttavia, non possono visualizzare insieme i costi di Azure e di AWS in un gruppo di gestione.

Gestire i connettori AWS

Quando si seleziona un connettore nella pagina Connettori per AWS, è possibile:

  • Selezionare Vai all'account di fatturazione per visualizzare le informazioni relative all'account AWS consolidato.
  • Selezionare Controllo di accesso per gestire l'assegnazione di ruolo per il connettore.
  • Selezionare Modifica per aggiornare il connettore. Non è possibile modificare il numero di account AWS perché è visualizzato nel ruolo ARN. Ma è possibile creare un nuovo connettore.
  • Selezionare Verifica per eseguire di nuovo il test di verifica per assicurarsi che Gestione costi possa raccogliere i dati usando le impostazioni del connettore.

Screenshot che mostra i dettagli del connettore AWS.

Configurare gruppi di gestione di Azure

Inserire le sottoscrizioni di Azure e gli account AWS collegati nello stesso gruppo di gestione per creare un'unica posizione in cui vedere le informazioni dei diversi provider di servizi cloud. Per configurare l'ambiente Di Azure con i gruppi di gestione, vedere Configurazione iniziale dei gruppi di gestione.

Se si vuole separare i costi, è possibile creare un gruppo di gestione contenente solo account AWS collegati.

Configurare un account AWS consolidato

L'account AWS consolidato combina fatturazione e pagamenti per più account AWS. Funge anche da account AWS collegato. È possibile visualizzare i dettagli per l'account consolidato di AWS usando il collegamento nella pagina del connettore AWS.

Screenshot che mostra i dettagli per un account AWS consolidato.

Nella pagina è possibile effettuare le operazioni seguenti:

  • Selezionare Aggiornamento per eseguire l'aggiornamento in blocco dell'associazione degli account AWS collegati a un gruppo di gestione.
  • Selezionare Controllo di accesso per impostare l'assegnazione di ruolo per l'ambito.

Autorizzazioni per un account AWS consolidato

Per impostazione predefinita, le autorizzazioni per un account AWS consolidato vengono impostate al momento della creazione dell'account, in base alle autorizzazioni del connettore AWS. Il creatore del connettore è il proprietario.

Per gestire il livello di accesso usare la pagina Livello di accesso dell'account AWS consolidato. Gli account AWS collegati, tuttavia, non ereditano le autorizzazioni concesse all'account AWS consolidato.

Configurare un account AWS collegato

L'account AWS collegato è quello in cui vengono create e gestite le risorse AWS. Un account collegato funge anche da limite di sicurezza.

Da questa pagina è possibile:

  • Selezionare Aggiornamento per aggiornare l'associazione dell'account AWS collegato a un gruppo di gestione.
  • Selezionare Controllo di accesso per impostare un'assegnazione di ruolo per l'ambito.

Screenshot che mostra la pagina Account collegato AWS.

Autorizzazioni per un account AWS collegato

Per impostazione predefinita, le autorizzazioni per un account AWS collegato vengono impostate al momento della creazione, in base alle autorizzazioni del connettore AWS. Il creatore del connettore è il proprietario. Per gestire il livello di accesso usare la pagina Livello di accesso dell'account AWS collegato. Gli account AWS collegati non ereditano le autorizzazioni da un account AWS consolidato.

Gli account AWS collegati ereditano sempre le autorizzazioni dal gruppo di gestione a cui appartengono.

Passaggi successivi