View a markdown version of this page

Menghubungkan Sumber Daya Azure - AWS DevOps Agen
PrasyaratMendaftarkan Azure Resources melalui Persetujuan AdminMendaftarkan Azure Resources melalui Pendaftaran AplikasiMenetapkan peran AzureMengaitkan langganan dengan Agent SpaceMengelola koneksi Azure Resources

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan Sumber Daya Azure

Integrasi Azure Resources memungkinkan AWS DevOps Agen menemukan dan menyelidiki sumber daya dalam langganan Azure Anda selama penyelidikan insiden. Agen menggunakan Azure Resource Graph untuk penemuan sumber daya dan dapat mengakses metrik, log, dan data konfigurasi di seluruh lingkungan Azure Anda.

Integrasi ini mengikuti proses dua langkah: daftarkan Azure di tingkat AWS akun, lalu kaitkan langganan Azure tertentu dengan Ruang Agen individual.

Prasyarat

Sebelum menghubungkan Azure Resources, pastikan Anda memiliki:

  • Akses ke konsol AWS DevOps Agen

  • Akun Azure dengan akses ke langganan target

  • Untuk metode Persetujuan Admin: akun dengan izin untuk melakukan persetujuan admin di Microsoft Entra ID

  • Untuk metode Pendaftaran Aplikasi: aplikasi Entra dengan izin untuk mengonfigurasi kredensi identitas federasi, dan Federasi Identitas Keluar diaktifkan di akun Anda AWS

Metode Persetujuan Admin menggunakan alur berbasis persetujuan dengan aplikasi yang dikelola AWS DevOps Agen.

Langkah 1: Mulai pendaftaran

  1. Masuk ke Konsol AWS Manajemen dan arahkan ke konsol AWS DevOps Agen

  2. Buka halaman Penyedia Kemampuan

  3. Temukan bagian Azure Cloud dan klik Daftar

  4. Pilih metode pendaftaran Persetujuan Admin

  1. Tinjau izin yang diminta

  2. Klik untuk melanjutkan — Anda diarahkan ke halaman persetujuan admin Microsoft Entra

  3. Masuk dengan akun utama pengguna yang memiliki izin untuk melakukan persetujuan admin

  4. Meninjau dan memberikan persetujuan untuk aplikasi AWS DevOps Agen

Langkah 3: Otorisasi pengguna lengkap

  1. Setelah persetujuan admin, Anda diminta untuk otorisasi pengguna untuk memverifikasi identitas Anda sebagai anggota penyewa yang berwenang

  2. Masuk dengan akun milik penyewa Azure yang sama

  3. Setelah otorisasi, Anda diarahkan kembali ke konsol AWS DevOps Agen dengan status sukses

Langkah 4: Tetapkan peran

Lihat Menetapkan peran Azure di bawah ini. Cari AWS DevOps Agen saat memilih anggota.

Mendaftarkan Azure Resources melalui Pendaftaran Aplikasi

Metode Pendaftaran Aplikasi menggunakan aplikasi Entra Anda sendiri dengan kredensi identitas federasi.

Langkah 1: Mulai pendaftaran

  1. Di konsol AWS DevOps Agen, buka halaman Penyedia Kemampuan

  2. Temukan bagian Azure Cloud dan klik Daftar

  3. Pilih metode Pendaftaran Aplikasi

Langkah 2: Buat dan konfigurasikan aplikasi Entra Anda

Ikuti petunjuk yang ditampilkan di konsol untuk:

  1. Aktifkan Federasi Identitas Keluar di AWS akun Anda (di konsol IAM, buka Pengaturan akun → Federasi Identitas Keluar)

  2. Buat aplikasi Entra di Microsoft Entra ID Anda, atau gunakan yang sudah ada

  3. Konfigurasikan kredenal identitas federasi pada aplikasi

Langkah 3: Berikan detail pendaftaran

Isi formulir pendaftaran dengan:

  • ID Penyewa - Pengenal penyewa Azure Anda

  • Nama Penyewa - Nama tampilan untuk penyewa

  • ID Klien — ID aplikasi (klien) dari aplikasi Entra yang Anda buat

  • Audiens - Pengidentifikasi audiens untuk kredensi federasi

Langkah 4: Buat peran IAM

Peran IAM akan dibuat secara otomatis saat Anda mengirimkan pendaftaran melalui konsol. Ini memungkinkan AWS DevOps Agen untuk mengambil kredensi dan memanggil. sts:GetWebIdentityToken

Langkah 5: Tetapkan peran

Lihat Menetapkan peran Azure di bawah ini. Cari aplikasi Entra yang Anda buat saat memilih anggota.

Langkah 6: Lengkapi pendaftaran

  1. Konfirmasikan konfigurasi di konsol AWS DevOps Agen

  2. Klik Submit untuk menyelesaikan pendaftaran

Menetapkan peran Azure

Setelah pendaftaran, berikan akses baca aplikasi ke langganan Azure Anda. Langkah ini sama untuk metode Persetujuan Admin dan Pendaftaran Aplikasi.

  1. Di Portal Azure, navigasikan ke langganan target Anda

  2. Pergi ke Access Control (IAM)

  3. Klik Menambahkan > Tambahkan tugas peran

  4. Pilih peran Pembaca dan klik Berikutnya

  5. Klik Pilih anggota, cari aplikasi (baik AWS DevOps Agen untuk Persetujuan Admin, atau aplikasi Entra Anda sendiri untuk Pendaftaran Aplikasi)

  6. Pilih aplikasi dan klik Review + assign

  7. (Opsional) Untuk mengaktifkan agen mengakses kluster Azure Kubernetes Service (AKS), selesaikan pengaturan akses AKS berikut.

Pengaturan akses AKS (opsional)

Langkah 1: Akses tingkat Azure Resource Manager (ARM)

Tetapkan Azure Kubernetes Service Cluster User Role ke aplikasi.

Di Portal Azure, buka Langganan → pilih langgananKontrol Akses (IAM)Tambahkan penetapan peran → pilih Peran Pengguna Cluster Layanan Azure Kubernetes → tetapkan ke aplikasi (baik AWS DevOps Agen untuk Persetujuan Admin, atau aplikasi Entra Anda sendiri untuk Pendaftaran Aplikasi).

Ini mencakup semua kluster AKS dalam langganan. Untuk cakupan ke cluster tertentu, tetapkan pada kelompok sumber daya atau tingkat cluster individu sebagai gantinya.

Langkah 2: Akses API Kubernetes

Pilih satu opsi berdasarkan konfigurasi otentikasi klaster Anda:

Opsi A: Kontrol Akses Berbasis Peran Azure (RBAC) untuk Kubernetes (disarankan)

  1. Aktifkan Azure RBAC di cluster jika belum diaktifkan: Azure Portal → Kluster AKS → PengaturanKonfigurasi keamananOtentikasi dan otorisasi → pilih Azure RBAC

  2. Tetapkan peran hanya-baca: Azure Portal → Langganan → pilih langganan → Kontrol Akses (IAM) → Tambahkan penetapan peran → pilih Azure Kubernetes Service RBAC Reader → tetapkan ke aplikasi

Ini mencakup semua kluster AKS dalam langganan.

Opsi B: Direktori Aktif Azure (Azure AD) +Kubernetes RBAC

Gunakan ini jika klaster Anda sudah menggunakan konfigurasi autentikasi Azure AD default dan Anda memilih untuk tidak mengaktifkan Azure RBAC. Ini membutuhkan pengaturan per clusterkubectl.

  1. Simpan manifes berikut sebagaidevops-agent-reader.yaml:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: devops-agent-reader
rules:
  - apiGroups: [""]
    resources: ["namespaces", "pods", "pods/log", "services", "events", "nodes"]
    verbs: ["get", "list"]
  - apiGroups: ["apps"]
    resources: ["deployments", "replicasets", "statefulsets", "daemonsets"]
    verbs: ["get", "list"]
  - apiGroups: ["metrics.k8s.io"]
    resources: ["pods", "nodes"]
    verbs: ["get", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: devops-agent-reader-binding
subjects:
  - kind: User
    name: "<SERVICE_PRINCIPAL_OBJECT_ID>"
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: devops-agent-reader
  apiGroup: rbac.authorization.k8s.io

  1. Ganti <SERVICE_PRINCIPAL_OBJECT_ID> dengan Object ID kepala layanan Anda. Untuk menemukannya: Azure Portal → Entra ID → Aplikasi Perusahaan → cari nama aplikasi (baik AWS DevOps Agen untuk Persetujuan Admin, atau aplikasi Entra Anda sendiri untuk Pendaftaran Aplikasi).

  2. Terapkan untuk setiap cluster:

az aks get-credentials --resource-group <rg> --name <cluster-name>
kubectl apply -f devops-agent-reader.yaml

Peran kustom yang paling tidak memiliki hak istimewa (opsional)

Untuk kontrol akses yang lebih ketat, Anda dapat membuat peran Azure kustom yang hanya digunakan oleh penyedia sumber daya yang digunakan AWS DevOps Agen, alih-alih peran Pembaca yang luas:

{
  "Name": "AWS DevOps Agent - Azure Reader",
  "Description": "Least-privilege read-only access for AWS DevOps Agent incident investigations.",
  "Actions": [
    "Microsoft.AlertsManagement/*/read",
    "Microsoft.Compute/*/read",
    "Microsoft.ContainerRegistry/*/read",
    "Microsoft.ContainerService/*/read",
    "Microsoft.ContainerService/managedClusters/commandResults/read",
    "Microsoft.DocumentDB/*/read",
    "Microsoft.Insights/*/read",
    "Microsoft.KeyVault/vaults/read",
    "Microsoft.ManagedIdentity/*/read",
    "Microsoft.Monitor/*/read",
    "Microsoft.Network/*/read",
    "Microsoft.OperationalInsights/*/read",
    "Microsoft.ResourceGraph/resources/read",
    "Microsoft.ResourceHealth/*/read",
    "Microsoft.Resources/*/read",
    "Microsoft.Sql/*/read",
    "Microsoft.Storage/*/read",
    "Microsoft.Web/*/read"
  ],
  "NotActions": [],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/subscriptions/{your-subscription-id}"
  ]
}

Mengaitkan langganan dengan Agent Space

Setelah mendaftarkan Azure di tingkat akun, kaitkan langganan tertentu dengan Ruang Agen Anda:

  1. Di konsol AWS DevOps Agen, pilih Ruang Agen

  2. Buka tab Kemampuan

  3. Di bagian Sumber sekunder, klik Tambah

  4. Pilih Azure

  5. Berikan ID Langganan untuk langganan Azure yang ingin Anda kaitkan

  6. Klik Tambah untuk menyelesaikan asosiasi

Anda dapat mengaitkan beberapa langganan dengan Ruang Agen yang sama untuk memberikan visibilitas agen di seluruh lingkungan Azure Anda.

Mengelola koneksi Azure Resources

  • Melihat langganan yang terhubung — Di tab Kemampuan, bagian Sumber sekunder mencantumkan semua langganan Azure yang terhubung.

  • Menghapus langganan — Untuk memutuskan sambungan langganan dari Ruang Agen, pilih langganan tersebut di daftar Sumber sekunder dan klik Hapus. Ini tidak mempengaruhi pendaftaran tingkat akun.

  • Menghapus pendaftaran — Untuk menghapus pendaftaran Azure Cloud sepenuhnya, buka halaman Penyedia Kemampuan dan hapus pendaftaran. Semua asosiasi Ruang Agen harus dihapus terlebih dahulu.