Definir e configurar a integração do relatório de Custos e Utilização do AWS
Nota
O Connector for AWS no serviço de gerenciamento de custos é desativado em 31 de março de 2025. Os usuários devem considerar soluções alternativas para relatórios de gerenciamento de custos da AWS. Em 31 de março de 2024, o Azure desativará a capacidade de adicionar novos conectores para AWS para todos os clientes. Para obter mais informações, consulte Desativar o conector da Amazon Web Services (AWS).
Com a integração do relatório de custo e uso (CUR) da Amazon Web Services (AWS), você monitora e controla seus gastos da AWS no gerenciamento de custos. A integração oferece uma única localização no portal do Azure, onde monitoriza e controla as despesas do Azure e do AWS. Este artigo explica como configurar a integração e configurá-la para que você possa usar os recursos de Gerenciamento de Custos para analisar custos e revisar orçamentos.
O Cost Management processa o relatório de Custos e Utilização do AWS armazenado num registo S3 com as suas credenciais de acesso ao AWS para obter as definições do relatório e transferir os ficheiros CSV do relatório no formato GZIP.
Criar um relatório de Custos e Utilização no AWS
A utilização de um relatório de Custos e Utilização é a forma recomendada pelo AWS para recolher e processar os custos do AWS. O conector entre nuvens do Cost Management suporta relatórios de custo e uso configurados no nível da conta de gerenciamento (consolidado). Para obter mais informações, veja a documentação do AWS Cost and Usage Report (Relatório de Custos e Utilização do AWS).
Utilize a página Relatórios de Custos e Utilização da consola Faturação e Cost Management no AWS para criar um relatório de Custos e Utilização com os seguintes passos:
- Inicie sessão na Consola de Gestão do AWS e abra a consola Faturação e Cost Management.
- No painel de navegação, selecione Relatórios de Custos e Utilização.
- Selecione Criar relatório.
- Em Nome do relatório, introduza um nome para o relatório.
- Em Detalhes adicionais do relatório, selecione Incluir IDs dos recursos.
- Em Definições de atualização dos dados, selecione se quer que o relatório de Custos e Utilização do AWS seja atualizado quando o AWS aplicar reembolsos, créditos ou taxas de suporte na sua conta após finalizar a fatura. Quando um relatório é atualizado, é carregado um novo relatório para o Amazon S3. Recomendamos que deixe esta definição selecionada.
- Selecione Seguinte.
- Para Registo S3, escolha Configurar.
- Na caixa de diálogo de Registo Configurar S3 introduza um nome de registo, a Região onde quer criar o novo registo e escolha Seguinte.
- Selecione Confirmei que esta política está correta e, em seguida, selecione Guardar.
- (Opcional) No prefixo Caminho do Relatório, introduza o prefixo do caminho do relatório que quer adicionar ao nome do relatório.
Se ignorado, o prefixo padrão é o nome especificado para o relatório. O intervalo de datas tem o formato/report-name/date-range/
. - Para Unidade de tempo, escolha Horas.
- Para Controle de versão de relatório, escolha se deseja que cada versão do relatório substitua a versão anterior ou se deseja mais novos relatórios.
- Para Permitir integração de dados para, não é necessária nenhuma seleção.
- Para Compressão, selecione GZIP.
- Selecione Seguinte.
- Depois de rever as definições do relatório, selecione Rever e Concluir.
Anote o nome do relatório. Você usá-lo em etapas posteriores.
Pode demorar até 24 horas para o AWS começar a entregar relatórios no seu registo Amazon S3. Após o início da entrega, o AWS atualiza os ficheiros do relatório de Custos e Utilização do AWS pelo menos uma vez por dia. Pode continuar a configurar o seu ambiente do AWS sem esperar que a entrega seja iniciada.
Nota
Atualmente, não há suporte para relatórios de custo e uso configurados no nível da conta de membro (vinculada).
Criar uma política e uma função na AWS
O Gerenciamento de Custos acessa o bucket do S3 onde o relatório de Custo e Uso está localizado várias vezes ao dia. O serviço precisa de ter acesso às credenciais para verificar se existem dados novos. Cria uma função e uma política no AWS para permitir o acesso do Cost Management.
Para ativar o acesso baseado em funções a uma conta do AWS no Cost Management, a função deverá ser criada na consola do AWS. Precisa de ter o ARN da função e o ID externo da consola do AWS. Posteriormente, serão utilizados na página Criar um conector AWS do Cost Management.
Usar o assistente Criar política
- Faça login no console da AWS e selecione Serviços.
- Na lista de serviços, selecione IAM.
- Selecione Políticas.
- Selecione Criar política.
- Selecione Escolher um serviço.
Configurar permissão para o relatório Custo e Uso
- Introduza Relatório de Custos e Utilização.
- Selecione Nível de acesso>Leitura>DescribeReportDefinitions. Este passo permite ao Cost Management ler quais os relatórios CUR definidos e determinar se correspondem ao pré-requisito de definição de relatórios.
- Selecione Adicionar mais permissões.
Configurar permissão para seu bucket e objetos do S3
- Selecione Escolher um serviço.
- Introduza S3.
- Selecione Nível de acesso>Lista>ListBucket. Esta ação obtém a lista de objetos no Registo S3.
- Selecione Nível de acesso>Leitura>GetObject. Esta ação permite a transferência dos ficheiros de faturação.
- Selecione Recursos>específicos.
- No bucket, selecione o link Add ARNs para abrir outra janela.
- Em Nome do bucket de recursos, insira o bucket usado para armazenar os arquivos CUR.
- Selecione Adicionar ARNs.
- No objeto, selecione Qualquer.
- Selecione Adicionar mais permissões.
Configurar permissão para o Explorador de Custos
- Selecione Escolher um serviço.
- Introduza Serviço do Explorador de Custos.
- Selecione Todas as ações do Serviço do Explorador de Custos (ce:*). Esta ação confirma que a coleção está correta.
- Selecione Adicionar mais permissões.
Adicionar permissão para o AWS Organizations
- Introduza Organizações.
- Selecione Nível de acesso>Lista>ListAccounts. Esta ação obtém os nomes das contas.
- Selecione Adicionar mais permissões.
Configurar permissões para políticas
- Digite IAM.
- Selecione Lista de> nível > de acesso ListAttachedRolePolicies e ListPolicyVersions e ListRoles.
- Selecione Nível > de acesso Ler >GetPolicyVersion.
- Selecione Política de recursos> e, em seguida, selecione Qualquer. Essas ações permitem a verificação de que apenas o conjunto mínimo necessário de permissões foi concedido ao conector.
- Selecione Seguinte.
Rever e criar
- Em Política de Revisão, introduza um nome para a nova política. Verifique se você inseriu as informações corretas.
- Adicionar etiquetas. Você pode inserir as tags que deseja usar ou pular esta etapa. Esta etapa não é necessária para criar um conector no Gerenciamento de custos.
- Selecione Criar política para concluir este procedimento.
A política JSON deve assemelhar-se ao seguinte exemplo. Substitua bucketname
pelo nome do bucket do S3, accountname
pelo número da conta e rolename
pelo nome da função que você criou.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"iam:ListRoles",
"ce:*",
"cur:DescribeReportDefinitions"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:ListAttachedRolePolicies"
],
"Resource": [
"arn:aws:s3:::bucketname",
"arn:aws:s3:::bucketname/*",
"arn:aws:iam::accountnumber:policy/*",
"arn:aws:iam::accountnumber:role/rolename"
]
}
]
}
Usar o assistente Criar uma Nova Função
- Inicie sessão na consola do AWS e selecione Serviços.
- Na lista de serviços, selecione IAM.
- Selecione Funções e, em seguida, Criar Função.
- Na página Selecionar entidade confiável, selecione Conta da AWS e, em Uma conta da AWS, selecione Outra conta da AWS.
- Em ID da conta, introduza 432263259397.
- Em Opções, selecione Exigir ID externo (Prática recomendada quando um terceiro assumirá essa função).
- Em ID externo, insira o ID externo, que é uma senha compartilhada entre a função da AWS e o Gerenciamento de custos. Observe a ID externa, porque você a usa na página Novo conector em Gerenciamento de custos. A Microsoft recomenda que utilize uma política de código de acesso forte ao introduzir o ID externo. O ID externo deve estar em conformidade com as restrições da AWS:
- Tipo: cadeia
- Restrições de comprimento: Comprimento mínimo de 2. Comprimento máximo de 1224.
- Deve satisfazer o padrão de expressão regular:
[\w+=,.@: /-]*
Nota
Não altere a seleção de Requerer MFA. Esta opção deve permanecer desmarcada.
- Selecione Seguinte.
- Na barra de pesquisa, procure a sua nova política e selecione-a.
- Selecione Seguinte.
- Em Detalhes da função, insira um nome de função. Verifique se você inseriu as informações corretas. Observe o nome inserido porque você o usa mais tarde quando configura o conector de gerenciamento de custos.
- Opcionalmente, adicione etiquetas. Você pode inserir qualquer tag como ou pular esta etapa. Esta etapa não é necessária para criar um conector no Gerenciamento de custos.
- Selecione Criar função.
Configurar um novo conector para o AWS no Azure
Use as informações a seguir para criar um conector da AWS e começar a monitorar seus custos da AWS.
Nota
O Connector for AWS permanece ativo após o término do período de avaliação se você definir a configuração de renovação automática como Ativado durante a configuração inicial. Caso contrário, o conector será desativado após sua avaliação. Ele pode permanecer desativado por três meses antes de ser excluído permanentemente. Depois que o conector é excluído, a mesma conexão não pode ser reativada. Para obter assistência com um conector desabilitado ou para criar uma nova conexão depois que ele for excluído, crie uma solicitação de suporte no portal do Azure.
Pré-requisitos
- Certifique-se de ter pelo menos um grupo de gerenciamento habilitado. É necessário um grupo de gestão para associar a subscrição ao serviço AWS. Para obter mais informações sobre como criar um grupo de gerenciamento, consulte Criar um grupo de gerenciamento no Azure.
- Certifique-se de que é um administrador da subscrição.
- Conclua a configuração necessária para um novo conector da AWS, conforme descrito na seção Criar um relatório de custo e uso na AWS .
Criar um novo conector
- Inicie sessão no portal do Azure.
- Navegue até Gerenciamento de custos + Faturamento e selecione um escopo de faturamento, se necessário.
- Selecione Análise de custos e, em seguida, selecione Configurações.
- Selecione Conectores para AWS.
- Selecione Adicionar conector.
- Na página Criar um conector em Nome a apresentar, introduza um nome para o conector.
- Opcionalmente, selecione o grupo de gestão predefinido. Ele armazena todas as contas vinculadas descobertas. Poderá ser configurado mais tarde.
- Na secção Faturação, selecione Renovação automática para Ativada se quiser garantir a operação contínua. Se selecionar a opção automática, terá de selecionar uma subscrição de faturação.
- Para ARN da função, introduza o valor que utilizou quando configurou a função no AWS.
- Para ID externo, introduza o valor que utilizou quando configurou a função no AWS.
- Para Nome de Relatório, introduza o nome que criou no AWS.
- Selecione Seguinte e, em seguida, Criar.
A apresentação dos novos âmbitos do AWS, da conta consolidada do AWS, das contas associadas do AWS e dos dados dos custos pode demorar algumas horas.
Depois de criar o conector, recomendamos que lhe atribua o controlo de acesso. Os usuários recebem permissões para os escopos recém-descobertos: conta consolidada da AWS e contas vinculadas da AWS. O utilizador que cria o conector é o proprietário do conector, da conta consolidada e de todas as contas associadas.
A atribuição das permissões do conetor aos utilizadores após ocorrer a deteção não atribui permissões aos âmbitos existentes do AWS. Em vez disso, são atribuídas permissões apenas às novas contas associadas.
Tome outras medidas
- Configure grupos de gestão se ainda não o tiver feito.
- Confirme que são adicionados novos âmbitos ao seletor de âmbito. Selecione Atualizar para ver os dados mais recentes.
- Na página Conectores da cloud, selecione o seu conector e selecione Ir para a conta de faturação para atribuir a conta associada a grupos de gestão.
Nota
Atualmente, os grupos de gestão não são suportados para clientes do Contrato de Cliente Microsoft (MCA). Os clientes do MCA podem criar o conector e ver os respetivos dados do AWS. No entanto, os clientes do MCA não podem ver os custos do Azure e os custos do AWS juntos num grupo de gestão.
Gerir conectores do AWS
Quando seleciona um conector na página Conectores para o AWS, pode:
- Selecionar Ir para Conta de Faturação para ver as informações da conta consolidada do AWS.
- Selecionar Controlo de Acesso para gerir a atribuição de funções do conector.
- Selecione Editar para atualizar o conector. Não pode alterar o número de conta do AWS, dado que este aparece no ARN da função. Mas, pode criar um novo conector.
- Selecionar Verificar para executar novamente o teste de verificação para garantir que o Cost Management consegue recolher dados com as definições do conector.
Configurar grupos de gestão do Azure
Coloque as suas subscrições do Azure e contas associadas do AWS no mesmo grupo de gestão para criar uma única localização onde possa ver as informações do fornecedor entre clouds. Se você quiser configurar seu ambiente do Azure com grupos de gerenciamento, consulte Configuração inicial de grupos de gerenciamento.
Se quiser separar os custos, poderá criar um grupo de gestão que possua apenas as contas associadas do AWS.
Configurar uma conta consolidada do AWS
A conta consolidada do AWS combina a faturação e o pagamento de várias contas AWS. Também age como uma conta associada do AWS. Pode ver os detalhes da sua conta consolidada do AWS através da hiperligação na página do conector do AWS.
Nesta página, pode:
- Selecionar Atualizar para atualizar em massa a associação de contas associadas do AWS com um grupo de gestão.
- Selecionar Controlo de Acesso para definir a atribuição de funções do âmbito.
Permissões para uma conta consolidada do AWS
Por predefinição, as permissões para uma conta consolidada do AWS são definidas aquando da criação da conta com base nas permissões do conector AWS. O criador do conector é o proprietário.
Pode gerir o nível de acesso na página Nível de Acesso da conta consolidada do AWS. No entanto, as contas associadas do AWS não herdam permissões para a conta consolidada do AWS.
Configurar uma conta associada do AWS
A conta associada do AWS é onde os recursos do AWS são criados e geridos. Uma conta associada também funciona como um limite de segurança.
Nesta página, pode:
- Selecionar Atualizar para atualizar a associação de uma conta associada do AWS com um grupo de gestão.
- Selecionar Controlo de Acesso para definir uma atribuição de funções do âmbito.
Permissões para uma conta associada do AWS
Por predefinição, as permissões para uma conta associada do AWS são definidas aquando da criação, com base nas permissões do conector AWS. O criador do conector é o proprietário. Pode gerir o nível de acesso na página Nível de Acesso da conta associada do AWS. No entanto, as contas associadas do AWS não herdam as permissões de uma conta consolidada do AWS.
As contas associadas do AWS herdam sempre as permissões do grupo de gestão a que pertencem.
Próximos passos
- Agora que você instalou e configurou a integração de relatórios de custo e uso da AWS, continue a Gerenciar custos e uso da AWS.
- Se não estiver familiarizado com a análise de custos, veja o início rápido Explorar e analisar os custos com a análise de custos.
- Se não estiver familiarizado com orçamentos no Azure, consulte Criar e gerir orçamentos.