Introdução #
Para que o Cloud8 se conecte aos provedores da AWS, você precisa fornecer as credenciais necessárias à plataforma. Atualmente, há duas maneiras de fazer isso:
- IAM Role (recomendado) – cria-se um Role com permissão explícita para a conta AWS usada pelo Cloud8.
- Access Key IAM (alternativa) – Para tanto, basta criar um usuário IAM do tipo “Programmatic Access” e com um política de segurança customizada que atenda a necessidade de seu negócio e processos.
Recomendamos que a primeira Role a ser configurada seja em uma conta do tipo “Management account”. O procedimento de configuração de role descrito abaixo deverá ser repetido em todas as contas da Organization.
Antes de iniciar as configurações, sugerimos alterar as configurações de idioma para EN-US, a fim de facilitar a identificação das propriedades que serão configuradas. Na barra superior, selecione o ícone de engrenagem (Configurações) e altere o idioma para English (US).
Integrar uma conta da AWS usando IAM Role #
Neste artigo, descrevemos o passo a passo para gerar o IAM Role. Sugerimos que abra um bloco de notas para anotar as informações necessárias para conexão do provedor junto a Cloud8. Esteja pronto para anotar as seguintes informações:
- AWS ACCOUNT ID (management account)
- ROLE NAME
- ROLE ARN
- EXTERNAL ID
- CUR Export Name
- CUR Bucket S3
- CUR Bucket S3 Path Prefix
Passo 1 – Criar uma nova Role no Console AWS #
Clique em “Create role”.
O ideal é primeiro criar uma Managed Policy com as permissões que precisa. Veja uma sugestão. Não se preocupe se não souber todas as permissões, é possível mudá-la a qualquer momento.
Passo 2 – Selecionar entidade confiável #
Na tela seguinte selecione AWS account como “Trusted entity type”.
Na seção abaixo, informe que é outra conta da AWS que terá acesso a essa Role. Selecione a opção “Another AWS account” e informe o ID da Cloud8: 693155863762. Marque a opção “Require external ID” e defina o valor para External ID. Anote o “External ID” no bloco de notas para utilizar posteriormente.
Nota: para o External ID utilize somente caracteres alfanuméricos. Como o usaremos via API, apesar do AWS permitir outros caracteres, eles não funcionam quando usados programaticamente.
Em seguida, clique em “Next”.
Passo 3 – Adicionar permissões #
Agora é o momento de adicionar permissões a essa Role, liberando o acesso às áreas específicas de sua conta AWS. A Policy mínima que o Cloud8 precisa é a “ReadOnlyAccess”.
Caso esteja difícil identificar a policy, ordene a coluna policy name por ordem decrescente alfabética e a policy “ReadOnlyAccess” será uma das primeiras. Em seguida, clique em “Next”.
É possível, na seção logo abaixo, definir um limite aos Roles selecionados acima. Você pode selecionar um Role menos rígido e aumentar a segurança removendo acessos desnecessários.
Passo 4 – Nomear Role e revisar as permissões antes de publicar #
Sugerimos adotar a seguinte nomenclatura: cloud8-role. Anote o “Role Name” no bloco de notas. Em seguida, clique em “Create role”.
Pronto! Sua Role foi criada e ele pode ser vista e editada direto no Console.
Clique na role criada para visualizar as informações. Anote o “Role ARN” no bloco de notas.
Passo 5 – Configurando o provedor no Cloud8 #
No menu lateral esquerdo, selecione “Providers”. Clique em “New” e preencha os campos obrigatórios com os dados gerados nas etapas anteriores.
- Provider name: O nome que será utilizando para identificar o provedor na Cloud8.
- Timezone: padrão de tempo local que será utilizado.
- Language: idioma padrão.
- Default location: Escolha a localização mais popular ou mais utilizada pela sua conta, vamos varrer todas regiões e zonas de qualquer forma.
- IAM Role ARN: Role ARN criada no Passo 4.
- External ID: External ID criado no Passo 2.
Clique em “Register” e aguarde a sincronização dos dados.
Integrar uma conta AWS usando uma IAM User Key #
Neste artigo, descrevemos o passo a passo para gerar o IAM User Key. Sugerimos que abra um bloco de notas para anotar as informações necessárias para conexão do provedor junto a Cloud8. Esteja pronto para anotar as seguintes informações:
- AWS ACCOUNT ID (management account)
- ACCESS KEY
- SECRET ACCESS KEY
- CUR Export Name
- CUR Bucket S3
- CUR Bucket S3 Path Prefix
Passo 1 – Criar uma Chave de Acesso no Console AWS #
Acesse o Console da AWS, clique no menu do usuário (canto superior direito) e selecione a opção “Security credentials”.
Na tela seguinte, procure a sessão de “Access keys” e clique em “Create access key”.
Com a criação da Access Key e o respectivo Secret access key, anote essas informações no bloco de notas.
Recomenda-se fazer o download desses dados clicando em “Download .csv file”. Em seguida, encerre essa etapa clicando em “Done”.
Passo 2 – Configurando o provedor na Cloud8 #
No menu lateral esquerdo, selecione “Providers”. Clique em “New” e preencha os campos obrigatórios com os dados gerados nas etapas anteriores.
- Provider name: O nome que será utilizando para identificar o provedor na Cloud8.
- Timezone: padrão de tempo local que será utilizado.
- Language: idioma padrão.
- Default location: Escolha a localização mais popular ou mais utilizada pela sua conta, vamos varrer todas regiões e zonas de qualquer forma.
- Access Key: Access Key criada no Passo 1.
- Secret Key: Secret access key criado no Passo 1.
Clique em “Register” e aguarde a sincronização dos dados.
Próximos passos #
Habilitação do ECS e EKS Split Cost #
No Portal da AWS, na barra de pesquisa busque por Billing and Cost Management. No menu lateral esquerdo, selecione Cost Management Preferences, na aba de Preferences and Settings.
Marque as opções Amazon Elastic Container Service (ECS) e Amazon Elastic Kubernetes Services (EKS) em Split cost allocation data. Em Rightsizing selecione Enable Rightsizing recommendations.
Essa configuração no Billing and Cost Management é fundamental para melhorar a visibilidade e o controle dos custos em ambientes que utilizam ECS e EKS. Ao habilitar a opção Split cost allocation data para esses serviços, os gastos passam a ser discriminados de forma mais granular, permitindo identificar com clareza quais recursos e workloads estão consumindo mais orçamento dentro dos clusters.
Ativar o Enable Rightsizing recommendations garante que a AWS forneça sugestões automáticas de ajuste de tamanho das instâncias, ajudando a identificar oportunidades de otimização e redução de custos sem comprometer a performance. Clique em “Save Preferences”.
Backfill do Histórico de custos #
A criação do CUR irá carregar dados a partir do primeiro dia do mês em que ele foi criado, portanto, caso você tenha criado no mês atual não terá o histórico disponível de meses anteriores. Será necessário abrir um chamado junto à AWS solicitando o Backfill dos meses anteriores. É necessário aguardar 24 horas após a criação do CUR, e passar os dados necessários como o Account ID, Export Name, Bucket e S3 Path Prefix.
Informe no chamado:
- Nome do bucket S3
- Prefixo utilizado
- Export name do CUR
- Período desejado para o backfill (datas de início e fim)
- Explique que precisa do backfill dos dados históricos para o novo CUR.
Segue um modelo de texto para abertura de chamado de backfill na AWS, adaptado para o contexto de solicitação de histórico do Cost and Usage Report (CUR):
Assunto: Solicitação de Backfill de Dados Históricos no AWS Cost and Usage Report (CUR)
Descrição:
Prezados,
Solicito o backfill dos dados históricos para o Cost and Usage Report (CUR) recém-configurado em nossa conta AWS. O objetivo é garantir que todos os dados de uso e custos anteriores estejam disponíveis no novo bucket configurado.
Detalhes da configuração:
- Bucket S3: [NOME_DO_BUCKET]
- Prefixo: [PREFIXO_UTILIZADO]
- Export Name do CUR: [EXPORT_NAME]
- Período desejado para backfill: [DATA_INICIAL] até [DATA_FINAL] (recomendamos solicitar histórico desde janeiro do ano anterior para ter pelo menos um ano calendário completo)
O CUR já está ativo e o primeiro arquivo foi publicado com sucesso. Gostaríamos de solicitar que a AWS publique os dados históricos referentes ao período acima neste novo CUR.
Caso seja necessário algum ajuste adicional na configuração ou envio de informações complementares, por favor, nos informe.
Agradeço desde já pelo suporte.
Atenciosamente,
[Seu nome]
[Seu contato]
Configurando o Cloud8 FinOps Analytics para AWS #
A configuração do FinOps Analytics é realizada através da conexão com um bucket S3 que recebe os dados de uso e custo através de CUR.
Configurando Billing Export (CUR) na AWS #
Um Cost and Usage Reports (CUR) é um conjunto de dados de uso e custo detalhados. É utilizado para exportar dados de billing para um bucket S3, permitindo integração completa com a ferramenta da Cloud8. É possível solicitar um backfill de dados de períodos anteriores à criação do CUR, permitindo uma visão histórica do consumo dos provedores da AWS.
Pré-requisitos #
Possuir acesso administrativo na Management Account da Organization.
Configurando um novo arquivo CUR #
No Portal da AWS, na barra de pesquisa busque por Cost and Usage Reports. Em seguida, clique em Create.
Em seguida, selecione Legacy CUR export.
- Export name: Nomeie o relatório e anote no bloco de notas.
- Selecione a opção “Include resource IDs”
- Selecione a opção “Split cost allocation data”.
- Selecione a opção “Refresh automatically”
Na configuração “Data export delivery options”, faça as seguintes configurações:
- Report data time granularity: o período necessário para agregação dos dados no relatório, podendo ser por hora, diariamente ou mensalmente (não recomendado). Recomenda-se a configuração “Hourly”.
- Report versioning: definir se as versões mais atuais do CUR substituam as versões anteriores ou sejam entregues juntamente com as versões anteriores. Recomenda-se “Create new report version”.
- Report data integration: pode deixar a configuração sem seleção, pois precisamos do formato CSV.
- Compression type: selecione ZIP ou GZIP.
Em Data export storage settings, clique em Configure. Caso opte por criar um novo bucket preencha os dados de “S3 bucket name” e selecione uma “Region”. Sugerimos adotar o nome “cloud8-bucket”. Em seguida, clique em “Create bucket”. Anote o nome do bucket S3 no bloco de notas.
Caso tenha decidido utilizar um bucket já existente, clique em Select existing bucket, e selecione o bucket desejado. Tendo em vista a possibilidade das políticas serem incompatíveis com o bucket selecionado, será necessário marcar o campo “I agree to overwrite my S3 bucket policy”. Clique em Select bucket. Anote o nome do bucket S3 no bloco de notas.
Independente de qual das opções de configuração for adotada, preencha “S3 path prefix” com o valor desejado para prefixo do seu data export. Sugerimos utilizar “cloud8-prefix”. Anote o S3 path prefix no bloco de notas.
Valide as informações e clique em Create Report.
Editar arquivo CUR pré-existente #
É possível que já exista um arquivo CUR anteriormente configurado. Neste caso o usuário terá a opção de editar as configurações da configuração existente.
Atenção! Essa ação não é recomendada caso o CUR existente esteja sendo utilizado por outras aplicações ou serviços, o que poderá desconfigurar sistemas que façam utilização do mesmo.
No Portal da AWS, na barra de pesquisa busque por Cost and Usage Reports. Em Exports and Dashboards selecione o relatório desejado.
Em seguida, clique em Edit.
Altere os campos necessários, em seguida clique em Edit Report.
OBS: As alterações efetuadas no CUR não terão efeitos retroativos, e passarão a funcionar a partir do mês em que a alteração foi realizada.
Cadastrando o CUR na Cloud8 #
No menu lateral da Cloud8 selecione FinOps Analytics. Selecione o provedor AWS anteriormente configurado no menu superior. Será exibida uma imagem na tela com a mensagem “Habilite os detalhes de custos para ter acesso a análise! Clique aqui!”.
Em Habilitar gestão de custos, informe:
- Bucket with billing data: Informe o Bucket name.
- Report path prefix/Export name: Informe a combinação do S3 path prefix + Export name no formato <S3 path prefix>/<Export name>.
Em seguida, clique em “Habilitar”.
Observação: Caso o CUR tenha acabado de ser criado, será necessário aguardar ao menos 24 horas para poder adicioná-lo no Cloud8.
Após a configuração levará algumas horas para que os dados sejam processados e publicações na aplicação da Cloud8.
Habilitando Melhores Práticas na Cloud8 #
Após a configuração do FinOps Analytics ser concluída e os dados já estiverem sincronizados na Cloud8, será possível habilitar a função de Melhores Práticas na Cloud8.
O Best Practices é um consultor avançado que combina mais de 1.000 regras exclusivas de segurança, backup, conformidade e redução de custos para AWS, Azure, GCP e OCI com alertas flexíveis via Teams, Slack ou e-mail.
No menu lateral da Cloud8 selecione Providers. Selecione o provedor desejado e clique em “Best Practices”.
Você deverá selecionar os provedores nos quais deseja habilitar a funcionalidade, e para isso, desmarque a checkbox “Disabled on this provider” e selecione a opção “Same as main credentials”.
Em seguida clique em “Configure”.
Observação: Caso o FinOps Analytics tenha acabado de ser habilitado, será necessário aguardar ao menos 24 horas para poder habilitar a funcionalidade do Melhores Práticas.
Habilitando o Cost Optimization Hub #
No Portal da AWS, em Billing and Cost Management / Cost Management Preferences selecione a aba Cost Optimization Hub. Esta funcionalidade é necessária para habilitar recomendações de otimização de custos de diversos serviços AWS através de ações como rightsizing ou adoção de descontos baseados em compromisso, como o Savings Plans.
Selecione a opção Enable Cost Optimization Hub for this account and all member accounts, e em seguida clique em Enable.
Habilitando o AWS Compute Optimizer #
No Portal da AWS, na barra de pesquisa busque por AWS Compute Optimizer. Este recurso usará machine learning para analisar métricas relevantes do CloudWatch e dados de configuração de recursos (como identificadores de recursos e tags de metadados) referentes a serviços específicos para as recomendações feitas. Clique em “Get started”.
Você pode ativar o Cost Optimization Hub diretamente pela organização (management account) e habilitar para todas as contas membro de uma vez, ou optar por ativar conta a conta de forma individual.
Em Preferências de opt-in selecione Todas as contas-membro desta organização, e em seguida clique em Fazer opt-in.
Adicionando credenciais de administração na AWS para Cloud8 #
O Cloud8 suporta o uso de IAM para o AWS com uma credencial customizada de segurança. Isso permite garantir privilégio mínimo ao integrar o Cloud8 com sua conta AWS. Essas credenciais normalmente incluem:
- Access Key
- Permissões mínimas necessárias
- Suporte para login com MFA
- Registro de logs de auditoria
Em IAM, acesse Policies. Em seguida, clique em “Create policy”. Na aba JSON é possível selecionar quais operações serão autorizadas, com base no Tipo de Recurso. Além disso, também é possível selecionar quais recursos serão impactados.
Ao selecionar uma ação, a ferramenta automaticamente altera o JSON para incluir as permissões selecionadas. Em “Add resource”, selecione “All resources” em Resource Type. Após configurar todo o JSON, clique em “Next”.
Na aba “Review & Create” adicione um “Policy Name” para identificar a política criada e atribuí-la posteriormente. Em seguida, clique em “Create policy”.
Abaixo estão alguns modelos de permissão adotados na Cloud8:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:Describe*",
"ec2:CreateImage",
"ec2:CreateSnapshot",
"ec2:ModifyInstanceAttribute",
"ec2:AssociateAddress",
"ec2:RebootInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:CreateTags",
"ec2:DeleteTags",
"rds:Describe*",
"rds:StartDBInstance",
"rds:StopDBInstance",
"rds:StartDBCluster",
"rds:StopDBCluster",
"rds:Download*",
"rds:ListTagsForResource",
"rds:ModifyDBInstance*",
"rds:CreateDBSnapshot*",
"ssm:Describe*",
"savingsplans:Describe*",
"elasticache:Describe*",
"elasticloadbalancing:Describe*",
"elasticbeanstalk:Describe*",
"autoscaling:Describe*",
"ecs:Describe*",
"ecs:List*",
"eks:Describe*",
"eks:List*",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:Look*",
"cloudfront:Describe*",
"cloudfront:Get*",
"cloudfront:List*",
"storagegateway:Describe*",
"storagegateway:List*",
"es:Describe*",
"es:List*",
"elasticache:Describe*",
"elasticache:List*",
"redshift:Describe*",
"workspaces:Describe*",
"lightsail:Get*",
"lambda:Get*",
"lambda:List*",
"tag:get*",
"trustedadvisor:Describe*",
"support:Describe*",
"iam:Get*",
"iam:List*",
"iam:Generate*",
"organizations:Describe*",
"organizations:List*",
"route53:Get*",
"route53:List*",
"cloudwatch:Get*",
"cloudwatch:List*",
"kms:List*",
"kms:Describe*",
"sns:ListSubscriptions*",
"sns:CreateTopic",
"sns:Subscribe",
"sns:ConfirmSubscription",
"rds:CreateEventSubscription"
],
"Resource": "*"
},
{
"Action": [
"s3:ListAllMyBuckets"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::___bucket_name___"
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::___bucket_name___/*"
}
]
}Restringir Start/Stop a um conjunto específico de recursos agrupados por tags:
{
"Effect": "Allow",
"Action": [
"ec2:RebootInstances",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Cloud8": "Enable"
}
}
},Limpeza de backup/Política de Retenção que apaga AMI/Snapshots segundo regras (insira no primeiro bloco com as permissões gerais):
…
ec2:DeregisterImage
ec2:DeleteSnapshot
rds:DeleteDBSnapshot
rds:DeleteDBClusterSnapshot
lightsail:DeleteInstanceSnapshot
…Copiar para outra região:
…
ec2:CopyImage
rds:CopyDBSnapshot
rds:CopyDBClusterSnapshot
…Economia e backup do RDS:
…
rds:ModifyDBInstance*
rds:CreateDBSnapshot*
rds:CreateDBClusterSnapshot*
…Monitoramento e eventos RDS:
…
sns:Describe*
sns:ListSubscriptions*
sns:CreateTopic
sns:Subscribe
sns:ConfirmSubscription
rds:CreateEventSubscription
…Executando scripts via EC2 Commands:
…
ssm:List*
ssm:Get*
ssm:SendCommand
…Cópia de segurança (cofre) para outra conta origem:
…
ec2:ModifyImageAttribute
ec2:ModifySnapshotAttribute
rds:ModifyDBSnapshotAttribute
rds:ModifyDBClusterSnapshotAttribute
…Conta de destino:
…
ec2:CopyImage
ec2:CopySnapshot
rds:CopyDBSnapshot
rds:CopyDBClusterSnapshot
…Redução de custos em Auto Scaling e Beanstalk:
…
elasticbeanstalk:Update*
autoscaling:Update*
…Redução de custos em ECS e Fargate:
…
ecs:Describe*
ecs:Update*
…Redução de custos no OpenSearch / ElasticSearch:
…
ess:Update*
…Load Balancer:
…
elasticloadbalancing:RegisterInstancesWithLoadBalancer
elasticloadbalancing:DeregisterInstancesFromLoadBalancer
elasticloadbalancing:RegisterTargets
elasticloadbalancing:DeregisterTargets
…Edição de tags:
…
tag:*
ec2:CreateTags
ec2:DeleteTags
rds:AddTagsToResource
rds:RemoveTagsFromResource
elasticloadbalancing:RemoveTags
elasticloadbalancing:AddTags
route53:ChangeTags*
dynamodb:Tag*
dynamodb:Untag*
logs:Tag*
logs:Untag*
eks:Tag*
eks:Untag*
elasticache:RemoveTagsFromResource
elasticache:AddTagsToResource
s3:DeleteObjectTagging
s3:DeleteJobTagging
s3:PutBucketTagging
s3:DeleteStorageLensConfigurationTagging
s3:ReplicateTags
s3:PutStorageLensConfigurationTagging
s3:PutObjectVersionTagging
s3:PutObjectTagging
s3:PutJobTagging
s3:DeleteObjectVersionTagging
dms:RemoveTagsFromResource
dms:AddTagsToResource
…Alteração do tipo de disco:
…
ec2:ModifyVolume*
…Redução de custos com Redshift:
…
redshift:Pause*
redshift:Resume*
…Redução de custos com Workspaces:
…
workspaces:Stop*
workspaces:Start*
…Suporte ao Lightsail:
…
lightsail:Describe*
lightsail:Get*
lightsail:Stop*
lightsail:Start*
lightsail:Reboot*
lightsail:Create*
lightsail:Copy*
…Agora basta atribuir a política criada à Função (Role) configurada para acesso do Cloud8.
