Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Avant de continuer, veillez à obtenir une vue d’ensemble du service de découverte de stockage et de la valeur qu’il peut vous fournir.
Vérifier que le service fonctionne pour votre scénario
La découverte de stockage Azure présente actuellement des insights pour les ressources du service Stockage Blob Azure. La couverture inclut également les comptes de stockage configurés avec la fonctionnalité d’espace de noms hiérarchique pour activer Azure Data Lake Storage.
La découverte ne fonctionne actuellement pas pour Azure Files ou d’autres types de stockage.
Éléments de base du déploiement
Vos ressources stockage Azure (comme les comptes de stockage) n’ont aucun impact sur les transactions ou les performances lors de leur analyse avec la découverte du stockage Azure.
Le déploiement du service signifie déployer et configurer une ressource d’espace de travail de découverte de stockage dans un groupe de ressources dans l’un de vos abonnements. Le service de découverte fonctionne pour calculer et stocker des informations sur votre patrimoine Stockage Blob Azure. Ces insights calculés sont stockés dans la région de l’espace de travail que vous avez créé. Autre que l’espace de travail De découverte de stockage, aucune autre infrastructure ne doit être déployée.
L’espace de travail peut être configuré pour agréger des insights sur tous les abonnements du locataire Azure dans lequel l’espace de travail est déployé. Pour générer des insights sur les ressources stockage Azure, telles que les comptes de stockage, vous devez être membre du rôle Lecteur RBAC (Contrôle d’accès en fonction du rôle) pour chaque ressource de stockage.
Important
Pour obtenir des insights précis, vous devez configurer votre espace de travail pour les ressources auxquelles vous disposez des autorisations.
La section autorisations de cet article contient des détails importants que vous devez consulter.
Préparation de votre abonnement
Vous devez choisir un abonnement régi par le même locataire Azure que les ressources stockage Azure (telles que les comptes de stockage) pour lesquelles vous souhaitez recevoir des insights. Lorsque vous avez décidé d’un abonnement Azure et d’un groupe de ressources pour votre espace de travail De découverte de stockage, passez en revue les sections suivantes pour vous assurer que votre abonnement est préparé.
Espace de noms du fournisseur de ressources
Avant d’utiliser un service pour la première fois dans un abonnement Azure, son espace de noms de fournisseur de ressources doit être inscrit une fois dans l’abonnement choisi. La découverte du stockage Azure a la même exigence. Un Propriétaire ou Contributeur d’abonnement peut effectuer cette action. L’exécution de cette action d’inscription avant le déploiement réel de l’espace de travail de découverte de stockage permet aux administrateurs avec moins de droits de déployer et d’utiliser le service de découverte de stockage.
Important
L’abonnement doit être inscrit auprès des espaces de noms du fournisseur de ressources Microsoft.StorageDiscovery.
Inscrire un fournisseur de ressources :
Conseil / Astuce
Lorsque vous déployez un espace de travail Storage Discovery en tant que propriétaire ou contributeur d’un abonnement via le portail Azure, votre abonnement est automatiquement enregistré dans cet espace de noms du fournisseur de ressources. Vous devez seulement effectuer l’inscription manuellement quand vous utilisez Azure PowerShell ou l’interface CLI.
Une fois qu’un abonnement est activé pour cet espace de noms de fournisseur de ressources, il reste activé jusqu’à ce qu’il soit annulé manuellement. Vous pouvez même supprimer le dernier espace de travail Storage Discovery, votre abonnement restera activé. Les déploiements suivants de l’espace de travail de stockage Découverte nécessitent ensuite des autorisations réduites de la part d’un(e) administrateur(-trice). La section suivante contient une répartition des différents scénarios de gestion et les autorisations nécessaires.
Déterminez le nombre d’espaces de travail dont vous avez besoin
Un espace de travail de découverte de stockage doit être configuré avec des étendues. L’article sur les composants de gestion partage des détails sur les étendues de l’espace de travail. Les étendues sont des groupes logiques de ressources de stockage. Par exemple, une étendue peut faire référence à toutes les ressources de stockage d’une charge de travail ou d’un service spécifique que vous souhaitez obtenir des insights séparément.
Étant donné que vous ne pouvez configurer qu’un nombre limité d’étendues dans un espace de travail, vous aurez peut-être besoin de plusieurs espaces de travail pour couvrir vos besoins de création de rapports d’insights.
Si un espace de travail doit être utilisé pour des insights de niveau supérieur, vous pouvez en créer une avec une étendue pour l’ensemble de votre patrimoine stockage Azure, puis ajouter des étendues pour chaque service. Si un espace de travail est désigné pour fournir des insights sur des charges de travail spécifiques, vous pouvez créer un espace de travail contenant une étendue pour chaque charge de travail.
Passer en revue vos balises de ressources Azure
Vous pouvez sélectionner les ressources de stockage incluses dans une étendue d’espace de travail en sélectionnant d’abord des abonnements ou des groupes de ressources spécifiques, puis en filtrant les ressources de stockage dans celles-ci par des étiquettes de ressources Azure. Il est important de vous familiariser avec les étiquettes de ressources disponibles sur vos ressources de stockage. Vérifiez qu’elles sont appliquées de manière cohérente, puis cataloguez-les pour créer les étendues dans votre espace de travail. Planifiez les étendues dont vous avez besoin pour obtenir des insights disponibles par service, charge de travail ou autre regroupement pour lequel vous avez une utilisation.
Sélectionner une région Azure pour votre déploiement
Lorsque vous déployez un espace de travail de découverte de stockage, vous devez choisir une région. La région que vous sélectionnez détermine où sont stockées les insights calculés sur vos ressources de stockage Azure. Vous pouvez toujours capturer des insights pour les ressources stockage Azure situées dans d’autres régions. Une bonne pratique générale consiste à choisir la région de votre espace de travail en fonction des exigences de résidence des métadonnées qui s’appliquent à vous et plus près de votre emplacement. La visualisation de vos insights à partir d’un espace de travail plus proche de vous peut avoir un léger avantage en matière de performances.
Les espaces de travail de découverte de stockage peuvent être créés dans les régions suivantes :
- France Centrale
- Centre du Canada
- Est des États-Unis 2
- Europe Nord
- Europe Ouest
- Ouest des États-Unis 2
- États-Unis - partie centrale méridionale
- Australie Est
- Inde centrale
- Japon Est
- Brazil South
Un atelier de découverte de stockage peut couvrir les comptes de stockage situés dans n’importe quelle région de cloud public. Si une nouvelle région de cloud public Azure devient disponible, il peut y avoir un délai jusqu’à ce que les ressources de stockage de cette nouvelle région soient couvertes par le service de découverte de stockage.
Autorisations
Les autorisations sont gérées via le contrôle d’accès en fonction du rôle Azure (RBAC). Cette section traite des sujets suivants :
- Autorisation aux ressources de stockage pour lesquelles vous souhaitez obtenir des insights à partir du service de découverte.
- Considérations relatives aux autorisations pour une ressource d’espace de travail.
Autorisations sur vos ressources de stockage
Lors de la création d’un espace de travail de découverte de stockage, vous configurez la racine de l’espace de travail. L’article des composants de gestion fournit plus de détails pour cette configuration. Dans la racine de l’espace de travail, vous répertoriez au moins une et au plus 100 ressources Azure de différents types :
- Abonnements
- groupes de ressources
La personne qui déploie l’espace de travail doit avoir au moins le lecteur d’attribution de rôle RBAC (Role Based Access Control) pour chaque ressource de la racine de l’espace de travail. Le lecteur est le niveau d’autorisation minimal requis. Les contributeurs et propriétaires sont également pris en charge.
Il est possible que vous voyiez un abonnement répertorié dans le portail Azure, pour lequel vous n’avez pas cette attribution directe de rôle Lecteur . Lorsque vous pouvez voir une ressource à laquelle vous n’avez pas d’attribution de rôle, il est probable que vous disposez d’autorisations pour une sous-ressource dans cet abonnement. Dans ce cas, l’existence de ce « parent » a été révélée à vous, mais vous n’avez aucun droit sur la ressource d’abonnement elle-même. Cet exemple peut également être étendu aux groupes de ressources. L’absence d’un lecteur ou d’une attribution de rôle directe supérieure disqualifie une ressource Azure comme base (racine) d’un espace de travail.
Les autorisations sont validées uniquement lorsqu’un espace de travail est créé. Toute modification apportée aux autorisations du compte Azure qui a créé l’espace de travail, y compris sa suppression, n’a aucun effet sur l’espace de travail ou la fonctionnalité du service de découverte.
Considérations relatives à l’autorisation pour une ressource d’espace de travail
L’espace de travail Découverte du stockage Azure stocke les insights calculés pour votre patrimoine de stockage. Vous pouvez accéder aux rapports dans le portail Azure ou utiliser ces insights via Azure Copilot. Pour accéder aux insights stockés dans un espace de travail, un(e) utilisateur(-trice) doit avoir au moins le lecteur de rôle RBAC sur l’espace de travail. Les attributions de rôles Contributeur et Propriétaire fonctionnent également. Vous pouvez fournir un accès insights à un autre utilisateur en leur attribuant l’un des trois rôles précédemment répertoriés sur l’espace de travail.
| Scénario | Attributions de rôle RBAC minimales nécessaires |
|---|---|
| Inscrire un espace de noms de fournisseur de ressources dans un abonnement | Abonnement : Contributor |
| Déployer un espace de travail de découverte de stockage (Espace de noms du fournisseur de ressources déjà inscrit) |
Groupe de ressources : Contributor |
| Partager les insights de découverte du stockage avec une autre personne | Espace de travail de découverte du stockage : Owner |
| Permettre à une personne d’apporter des modifications à la configuration de l’espace de travail | Espace de travail de découverte du stockage : Contributor |
Avertissement
Lorsque vous fournissez à d’autres utilisateurs l’accès à un espace de travail, vous divulguez tous les insights de l’espace de travail. D’autres utilisateurs peuvent ne pas être privilégiés pour connaître l’existence des ressources Azure ou des insights sur les données qu’ils stockent. Fournir l’accès à un espace de travail ne fournit pas l’accès à un compte de stockage, un groupe de ressources ou un abonnement individuel. Les ressources individuelles restent régies par RBAC.