Introdução #

Em uma Azure Account que faça parte de um Enterprise Agreement (EA), será necessário configurar a integração com o Cloud8 em cada Subscription ID que faça parte do Tenant ID (Directory) e também no nível de Enterprise Administrator do EA.

Para começar, pesquise por Microsoft Entra ID, e acesse a aba Overview. Anote o Tenant ID.

Sugerimos que deixe o bloco de notas aberto para registrar as seguintes informações:

• SUBSCRIPTION ID (Passo 1)
• SECRET VALUE (Passo 2)
• APPLICATION ID (Passo 2)
• TENANT ID (Passo 2) 
• ENTERPRISE APPLICATION ID (Passo 4)
• ENTERPRISE APPLICATION OBJECT ID (Passo 4)
• BILLING ACCOUNT ID (Passo 5)
• GUID (Passo 5)

Pré-requisitos #

• Mude o idioma para English no menu superior, clicando no ícone de Settings. Em seguida, selecione Language + Region e escolha English em Language.
• O usuário precisa ser Global Administrator no Tenant onde a configuração será realizada.. 
• O usuário precisa ser Enterprise Administrator na conta de Enterprise Agreement.

Como verificar se o usuário possui a role Enterprise Administrator  #

No Portal Azure, pesquise por “Cost Management + Billing”. Na aba Billing Scopes verifique se o usuário possui acesso a Billing Account ou se o usuário é Enterprise Administrator em My role.

Para configurar o acesso de Enterprise Administrator, outro usuário com acesso de Enterprise Administrator precisa conceder acesso. Para isto, selecione Billing Account e clique em Access Control (IAM).

Clique em Add e selecione a role Billing Account Administator. Em User, groups, or apps selecione o usário que receberá a role e clique em Add.

Como verificar se o usuário possui a role Global Administrator  #

Na barra de pesquisa superior, busque por “Microsoft Entra ID”. Em Overview verifique se o usuário possui a role Global Administrator na sessão de My Feed.

Para configurar o acesso de Global Administrator, outro usuário com acesso de Global Administrator precisa conceder a role usando o Microsoft Entra ID. Ao clicar em Users você será direcionado para lista de usuários da conta.

Selecione o usuário que receberá a nova role e clique em Assigned roles. Em seguida, clique em Add assignments, busque por Global Administrator e conclua clicando em Add.

Passo 1 – Selecionando a Subscription #

Na barra de pesquisa superior, procure por “Subscription”. Selecione a Subscription e anote o Subscription ID.

Passo 2 – Configurar o App Registration #

Na barra de pesquisa superior, procure por App Registrations. Clique em App Registration.

Clique em “New registration” e defina um nome.

Selecione o App Registration criado e clique em Certificates & Secrets no menu lateral esquerdo. Em seguida, clique em New Client Secret. Escolha um nome para a chave e selecione a data de expiração para 24 meses.

Após a criação, o provedor será configurado usando o Secret Value. Anote-o imediatamente após a criação, pois ele não estará mais visível.

Ainda em App Registration, anote o Application ID e o Tenant ID.

Passo 3 – Conceda as permissões necessárias ao App Registration #

Busque novamente por Subscriptions clique em Access control (IAM) no menu lateral esquerdo da Subscription, em seguida clique em Add > Add role assignment.

Selecione a role Reader, e clique Next:

Na aba Members, clique em Select members, em seguida procure pelo App Registration que foi criado. Em seguida clique em Review + assign:

OBS: Esse procedimento deverá ser realizado em cada Subscription.

Passo 4 – Configurar a Enterprise Application (Somente em Enterprise Agreement) #

Em seguida, busque por Enterprise Applications na barra de pesquisa superior. Selecione a Enterprise Application definida no Passo 2. Sempre que um App Registration é criado, automaticamente gera um Enterprise Application.

Anote no bloco de notas o Name, Enterprise Application ID e o Enterprise Object ID.

Passo 5 – Atribua permissões de Enrollment Reader ao Service Principal somente em Enterprise Agreement #

Na barra de pesquisa superior busque por Cost Management + Billing. Em Overview, anote o Billing Account ID.

Com os dados coletados, o próximo passo é atribuir as permissões de API necessárias para a ferramenta. O primeiro passo é gerar em GUID, usando o comando New-Guid no PowerShell ou através do website Online GUID/ UUID Generator. Usando o website, clique em Generate some GUIDs!

Em seguida, use o  Role Assignments Put REST API do EnrollmentReader. Clique em Try it.

Preencha os campos com as seguintes informações:

• billingAccountName: BILLING ACCOUNT ID
• billingRoleAssignmentName: GUID do SERVICE principal que foi criado
• Body: preencha conforme o modelo abaixo.

{
  "properties": {
    "principalId": "<ENTERPRISE APPLICATION OBJECT ID>",
    "principalTenantId": "<TENANT ID>",
    "roleDefinitionId": "/providers/Microsoft.Billing/billingAccounts/<BILLING ACCOUNT ID>/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e"
  }
}

Em seguida clique em Run para executar a atribuição. Valide o resultado através do Response Code 200.

Feito! Você configurou o Service Principal e está pronto para associá-lo a Cloud8. Preencha com os dados coletados nas etapas anteriores:

• Subscription ID = SUBSCRIPTION ID
• Tenant ID = TENANT ID
• Application ID = APPLICATION ID
• Senha = SECRET VALUE

Configurando o FinOps Analytics no Cloud8 #

Essa etapa é manual e feita por nossa equipe. Envie um email para suporte@cloud8.com.br informando que os processos de configuração do EA Enrollment Reader foram completados com sucesso (200 code).

Habilitando o Best Practices no Cloud8 #

Após a configuração do FinOps Analytics ser concluída e os dados já estiverem sincronizados na Cloud8, será possível habilitar a função de Melhores Práticas na Cloud8.

O Best Practices é um consultor avançado que combina mais de 1.000 regras exclusivas de segurança, backup, conformidade e redução de custos para AWS, Azure, GCP e OCI com alertas flexíveis via Teams, Slack ou e-mail.

No menu lateral da Cloud8 selecione Providers. Selecione o provedor desejado e clique em “Best Practices”.

Você deverá selecionar os provedores nos quais deseja habilitar a funcionalidade, e para isso, desmarque a checkbox “Disabled on this provider” e selecione a opção “Same as main credentials”.

Em seguida clique em “Configure”.

OBS: Caso o FinOps Analytics tenha acabado de ser habilitado, será necessário aguardar ao menos 24 horas para poder habilitar a funcionalidade do Melhores Práticas.