Sécurité
Configuration d'AWS S3 en tant que collecteur de données de stockage
Suggérer des modifications
PDF
Cloud Insights utilise AWS S3 comme collecteur de données de stockage pour acquérir les données d'inventaire et de performance à partir des instances AWS S3.
De formation
Pour collecter des données à partir d'AWS S3 en tant que périphériques de stockage, vous devez disposer des informations suivantes :
-
Vous devez disposer de l'une des options suivantes :
-
Le rôle IAM pour votre compte cloud AWS, si vous utilisez l'authentification par rôle IAM. Le rôle IAM s'applique uniquement si votre unité d'acquisition est installée sur une instance AWS.
-
L'ID IAM Access Key et la clé d'accès secrète pour votre compte de cloud AWS, si vous utilisez l'authentification IAM Access Key.
-
-
Vous devez disposer du privilège « organisation de liste »
-
Port 443 HTTPS
-
Il est possible de signalement des instances AWS S3 en tant que machine virtuelle ou (moins naturellement) d'un hôte. Les volumes EBS peuvent être signalés comme des virtualDisk utilisés par la machine virtuelle, ainsi qu'un datastore fournissant la capacité pour la virtuelleDisk.
Les clés d'accès comprennent un ID de clé d'accès (par exemple, AKIAIOSFONDN7EXAMPLE) et une clé d'accès secrète (par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Vous utilisez des clés d'accès pour signer les demandes de programmation que vous créez à AWS si vous utilisez les opérations de kits de développement logiciel et D'API REST AWS ou Query. Ces clés sont fournies avec votre contrat Amazon.
Configuration
Entrez les données dans les champs du collecteur de données conformément au tableau ci-dessous :
| Champ | Description |
|---|---|
Région AWS |
Choisissez la région AWS |
Rôle IAM |
À utiliser uniquement lorsqu'il est acquis sur un au dans AWS. Voir ci-dessous pour plus d'informations sur Rôles IAM. |
ID de clé d'accès IAM AWS |
Entrez l'ID de clé d'accès IAM AWS. Obligatoire si vous n'utilisez pas le rôle IAM. |
Clé d'accès secrète AWS IAM |
Entrez la clé d'accès secrète IAM AWS. Obligatoire si vous n'utilisez pas le rôle IAM. |
J'ai compris les factures AWS pour les demandes d'API |
Vérifiez que vous comprenez bien qu'AWS vous facture pour les demandes d'API faites par l'interrogation de Cloud Insights. |
Configuration avancée
| Champ | Description |
|---|---|
Rôle inter-comptes |
Rôle d'accès aux ressources de différents comptes AWS. |
Intervalle d'interrogation des stocks (min) |
La valeur par défaut est 60 |
Choisissez exclure ou inclure pour appliquer le filtrage des VM par balises |
Indiquez s'il faut inclure ou exclure des VM par des étiquettes lors de la collecte de données. Si l'option "inclure" est sélectionnée, le champ clé d'étiquette ne peut pas être vide. |
Intervalle d'interrogation des performances (s) |
La valeur par défaut est 1800 |
Touche accès IAM
Les clés d'accès sont des identifiants à long terme pour un utilisateur IAM ou l'utilisateur root du compte AWS. Les clés d'accès sont utilisées pour signer des demandes de programmation vers l'interface de ligne de commande AWS ou l'API AWS (directement ou à l'aide du kit de développement logiciel AWS).
Les clés d'accès sont constituées de deux parties : un ID de clé d'accès et une clé d'accès secrète. Lorsque vous utilisez l'authentification IAM Access Key (par opposition à l'authentification IAM role), vous devez utiliser à la fois l'ID de clé d'accès et la clé d'accès secrète pour l'authentification des requêtes. Pour plus d'informations, consultez la documentation Amazon sur "Touches d'accès".
Rôle IAM
Lorsque vous utilisez l'authentification IAM role (par opposition à l'authentification IAM Access Key), vous devez vous assurer que le rôle que vous créez ou spécifiez dispose des autorisations appropriées nécessaires pour accéder à vos ressources.
Par exemple, si vous créez un rôle IAM nommé InstanceS3ReadOnly, vous devez configurer la règle pour accorder l'autorisation d'accès à la liste en lecture seule S3 à toutes les ressources S3 pour ce rôle IAM. En outre, vous devez accorder l'accès STS (Security Token Service) pour que ce rôle soit autorisé à assumer des comptes croisés de rôles.
Une fois que vous avez créé un rôle IAM, vous pouvez le rattacher à une nouvelle instance S3 ou à toute instance S3 existante.
Une fois le rôle IAM InstanceS3ReadOnly à une instance S3, vous pouvez récupérer les informations d'identification temporaires via les métadonnées de l'instance par le nom de rôle IAM et les utiliser pour accéder aux ressources AWS par toute application exécutée sur cette instance S3.
Pour plus d'informations, reportez-vous à la documentation Amazon sur "Rôles IAM".
Remarque : le rôle IAM ne peut être utilisé que lorsque l'unité d'acquisition est exécutée dans une instance AWS.
Mappage des balises Amazon sur les annotations Cloud Insights
AWS S3 en tant que collecteur de données de stockage comprend une option qui vous permet de remplir les annotations d'Cloud Insights avec des balises configurées sur S3. Les annotations doivent être nommées exactement comme les balises AWS. Cloud Insights renseigne toujours les annotations de type texte nommées identique et tentera de remplir les annotations des autres types (nombre, booléen, etc.). Si votre annotation est de type différent et que le collecteur de données ne parvient pas à la remplir, il peut être nécessaire de supprimer l'annotation et de la recréer en tant que type de texte.
Notez qu'AWS est sensible à la casse, tandis que Cloud Insights n'est pas sensible à la casse. Si vous créez une annotation nommée « PROPRIÉTAIRE » dans Cloud Insights et des balises nommées « PROPRIÉTAIRE », « propriétaire » et « propriétaire » dans S3, toutes les variantes S3 du « propriétaire » seront mappées vers l'annotation « PROPRIÉTAIRE » de Cloud Insight.
Inclure régions supplémentaires
Dans la section AWS Data Collector Advanced Configuration, vous pouvez définir le champ inclure les régions supplémentaires pour inclure des régions supplémentaires, séparées par une virgule ou un point-virgule. Par défaut, ce champ est défini sur US-.*, qui collecte sur toutes les régions AWS des États-Unis. Pour collecter sur toutes régions, définissez ce champ sur .*. Si le champ inclure les régions supplémentaires est vide, le collecteur de données collecte les ressources spécifiées dans le champ région AWS comme spécifié dans la section Configuration.
Collecte depuis les comptes enfants AWS
Cloud Insights prend en charge la collecte de comptes enfants pour AWS dans un collecteur de données AWS unique. La configuration de cette collection est effectuée dans l'environnement AWS :
-
Vous devez configurer chaque compte enfant pour qu'il dispose d'un rôle AWS qui permet à l'ID de compte principal d'accéder aux informations S3 à partir du compte enfants.
-
Chaque compte enfant doit avoir le nom du rôle configuré comme la même chaîne.
-
Entrez cette chaîne de nom de rôle dans la section Cloud Insights AWS Data Collector Advanced Configuration, dans le champ Cross account role.
Meilleure pratique : il est fortement recommandé d'attribuer la politique AWS prédéfinie Amazon S3ReadOnlyAccess au compte principal S3. En outre, l'utilisateur configuré dans la source de données doit avoir au moins la stratégie prédéfinie AWOrganiztionsReadOnlyAccess, afin d'interroger AWS.
Pour plus d'informations sur la configuration de votre environnement permettant Cloud Insights la collecte de données à partir de comptes enfants AWS, consultez les documents suivants :
Dépannage
Pour plus d'informations sur ce Data Collector, consultez le "Assistance" ou dans le "Matrice de prise en charge du Data Collector".