Skip to main content
Cloud Insights
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurazione di AWS S3 come Storage Data Collector

Collaboratori

Cloud Insights utilizza AWS S3 come data collector per lo storage per acquisire dati di inventario e performance dalle istanze di AWS S3.

Requisiti

Per raccogliere i dati da AWS S3 come dispositivi di storage, è necessario disporre delle seguenti informazioni:

  • È necessario disporre di una delle seguenti opzioni:

    • Il ruolo IAM dell'account cloud AWS, se si utilizza l'autenticazione ruolo IAM. Il ruolo IAM si applica solo se l'unità di acquisizione è installata su un'istanza di AWS.

    • L'ID IAM Access Key e la chiave di accesso segreta per l'account cloud AWS, se si utilizza l'autenticazione IAM Access Key.

  • È necessario disporre del privilegio "list organization"

  • Porta 443 HTTPS

  • Le istanze di AWS S3 possono essere segnalate come macchina virtuale o (meno naturalmente) come host. I volumi EBS possono essere riportati sia come VirtualDisk utilizzato dalla macchina virtuale, sia come datastore che fornisce la capacità per VirtualDisk.

Le chiavi di accesso sono costituite da un ID della chiave di accesso (ad esempio, AKIAIOSFONN7EXAMPLE) e da una chiave di accesso segreta (ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Le chiavi di accesso vengono utilizzate per firmare le richieste programmatiche inviate ad AWS se si utilizzano le operazioni AWS SDK, REST o Query API. Queste chiavi vengono fornite con il contratto di Amazon.

Configurazione

Inserire i dati nei campi di raccolta dati in base alla tabella riportata di seguito:

Campo Descrizione

Regione AWS

Scegliere la regione AWS

Ruolo IAM

Da utilizzare solo se acquisito su un AU in AWS. Per ulteriori informazioni su, vedere di seguito Ruoli IAM.

ID chiave di accesso AWS IAM

Inserire l'ID della chiave di accesso AWS IAM. Obbligatorio se non si utilizza il ruolo IAM.

Chiave di accesso segreta AWS IAM

Immettere la chiave di accesso segreta AWS IAM. Obbligatorio se non si utilizza il ruolo IAM.

Capisco che AWS mi fattura per le richieste API

Verificare che AWS sia in grado di fornire una fattura per le richieste API effettuate tramite il polling Cloud Insights.

Configurazione avanzata

Campo Descrizione

Ruolo multiaccount

Ruolo per l'accesso alle risorse in diversi account AWS.

Intervallo polling inventario (min)

Il valore predefinito è 60

Scegliere "Escludi" o "Includi" per applicare il filtro delle macchine virtuali in base ai tag

Specificare se includere o escludere le macchine virtuali in base ai tag durante la raccolta dei dati. Se si seleziona ‘Includi’, il campo Tag Key non può essere vuoto.

Intervallo di polling delle performance (sec)

Il valore predefinito è 1800

Chiave di accesso IAM

Le chiavi di accesso sono credenziali a lungo termine per un utente IAM o per l'utente root dell'account AWS. Le chiavi di accesso vengono utilizzate per firmare le richieste programmatiche all'API AWS CLI o AWS (direttamente o utilizzando l'SDK AWS).

Le chiavi di accesso sono composte da due parti: Un ID della chiave di accesso e una chiave di accesso segreta. Quando si utilizza l'autenticazione IAM Access Key (invece dell'autenticazione IAM role), è necessario utilizzare sia l'ID della chiave di accesso che la chiave di accesso segreta per l'autenticazione delle richieste. Per ulteriori informazioni, consulta la documentazione Amazon all'indirizzo "Access Key (chiavi di accesso".

Ruolo IAM

Quando si utilizza l'autenticazione IAM role (invece dell'autenticazione IAM Access Key), è necessario assicurarsi che il ruolo creato o specificato disponga delle autorizzazioni appropriate necessarie per accedere alle risorse.

Ad esempio, se si crea un ruolo IAM denominato InstanceS3ReadOnly, è necessario impostare il criterio per concedere l'autorizzazione di accesso in sola lettura S3 a tutte le risorse S3 per questo ruolo IAM. Inoltre, è necessario concedere l'accesso a STS (Security Token Service) in modo che questo ruolo possa assumere ruoli diversi account.

Dopo aver creato un ruolo IAM, è possibile allegarlo quando si crea una nuova istanza S3 o un'istanza S3 esistente.

Dopo aver associato il ruolo IAM InstanceS3ReadOnly a un'istanza S3, sarà possibile recuperare la credenziale temporanea attraverso i metadati dell'istanza in base al nome del ruolo IAM e utilizzarla per accedere alle risorse AWS da qualsiasi applicazione in esecuzione su questa istanza S3.

Per ulteriori informazioni, consulta la documentazione Amazon all'indirizzo "Ruoli IAM".

Nota: Il ruolo IAM può essere utilizzato solo quando l'unità di acquisizione è in esecuzione in un'istanza AWS.

Mappatura dei tag Amazon alle annotazioni Cloud Insights

AWS S3 AS Storage Data Collector include un'opzione che consente di popolare le annotazioni Cloud Insights con tag configurati su S3. Le annotazioni devono essere denominate esattamente come i tag AWS. Cloud Insights compila sempre le annotazioni di tipo testo con lo stesso nome e farà un "miglior tentativo" di popolare le annotazioni di altri tipi (numero, booleano, ecc.). Se l'annotazione è di tipo diverso e il data collector non riesce a compilarla, potrebbe essere necessario rimuovere l'annotazione e ricrearla come testo.

Si noti che AWS fa distinzione tra maiuscole e minuscole, mentre Cloud Insights non fa distinzione tra maiuscole e minuscole. Quindi, se si crea un'annotazione denominata "OWNER" (PROPRIETARIO) in Cloud Insights e i tag denominati "OWNER" (PROPRIETARIO), "Owner" (proprietario) e "Owner" (proprietario) in S3, tutte le variazioni S3 di "OWNER" (proprietario) verranno mappate all'annotazione "OWNER" (PROPRIETARIO) di Cloud Insight.

Includi aree geografiche aggiuntive

Nella sezione AWS Data Collector Advanced Configuration, è possibile impostare il campo include extra regions in modo da includere regioni aggiuntive, separate da virgola o punto e virgola. Per impostazione predefinita, questo campo è impostato su us-.*, che raccoglie su tutte le regioni US AWS. Per eseguire la raccolta su tutte regioni, impostare questo campo su .*. Se il campo include extra regions è vuoto, il data collector raccoglierà le risorse specificate nel campo AWS Region come specificato nella sezione Configuration.

Raccolta da account secondari AWS

Cloud Insights supporta la raccolta di account figlio per AWS all'interno di un singolo data collector AWS. La configurazione per questa raccolta viene eseguita nell'ambiente AWS:

  • È necessario configurare ciascun account figlio in modo che disponga di un ruolo AWS che consenta all'ID account principale di accedere ai dettagli S3 dall'account figlio.

  • Ogni account figlio deve avere il nome del ruolo configurato come la stessa stringa.

  • Inserire questa stringa di nome ruolo nella sezione Configurazione avanzata del Data Collector AWS di Cloud Insights, nel campo ruolo account incrociato.

Best practice: Si consiglia vivamente di assegnare il criterio AmazonS3ReadOnlyAccess predefinito di AWS all'account principale S3. Inoltre, l'utente configurato nell'origine dati deve avere assegnato almeno il criterio AWSOrganizationsReadOnlyAccess predefinito, per eseguire query su AWS.

Per informazioni sulla configurazione dell'ambiente in modo da consentire la raccolta di Cloud Insights dagli account secondari AWS, consultare quanto segue:

"Esercitazione: Delegare l'accesso tra gli account AWS utilizzando i ruoli IAM"

"Configurazione AWS: Accesso a un utente IAM in un altro account AWS di proprietà dell'utente"

"Creazione di un ruolo per delegare le autorizzazioni a un utente IAM"

Risoluzione dei problemi

Per ulteriori informazioni su questo Data Collector, consultare il "Supporto" o in "Matrice di supporto Data Collector".