Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Antes de continuar, certifique-se de obter uma visão geral do serviço Storage Discovery e do valor que ele pode fornecer a você.
Certifique-se de que o serviço funciona para o seu cenário
Atualmente, a Descoberta de Armazenamento do Azure apresenta informações para recursos do serviço de Armazenamento de Blob do Azure. A cobertura também inclui contas de armazenamento configuradas com o recurso de namespace hierárquico para habilitar o Armazenamento do Azure Data Lake.
Atualmente, a descoberta não funciona para Arquivos do Azure ou outros tipos de armazenamento.
Noções básicas de implantação
Seus recursos de Armazenamento do Azure (como contas de armazenamento) não experimentam transações ou impacto no desempenho ao analisá-los com o Azure Storage Discovery.
Implantar o serviço significa implantar e configurar um recurso de espaço de trabalho de Descoberta de Armazenamento em um grupo de recursos em uma de suas assinaturas. O serviço de Descoberta funciona para calcular e armazenar informações sobre sua propriedade de Armazenamento de Blob do Azure. Esses insights computados são armazenados na região do espaço de trabalho que você criou. Além do espaço de trabalho Storage Discovery, nenhuma outra infraestrutura precisa ser implantada.
O espaço de trabalho pode ser configurado para agregar informações em qualquer assinatura no locatário do Azure no qual o espaço de trabalho é implantado. Para gerar informações sobre os recursos do Armazenamento do Azure, como contas de armazenamento, você precisa ser membro da função Leitor RBAC (Controle de Acesso Baseado em Função) para cada recurso de armazenamento.
Importante
Para obter informações precisas, você precisa configurar seu espaço de trabalho para recursos para os quais você tem permissões.
A seção de permissões neste artigo tem detalhes importantes que você deve revisar.
Preparar a sua subscrição
Você precisa escolher uma assinatura governada pelo mesmo locatário do Azure que os recursos de Armazenamento do Azure (como contas de armazenamento) para os quais deseja receber informações. Quando você decidir sobre uma assinatura do Azure e um grupo de recursos para seu espaço de trabalho de Descoberta de Armazenamento, revise as seções a seguir para garantir que sua assinatura esteja preparada.
Namespace do provedor de recursos
Antes de um serviço ser usado pela primeira vez em uma assinatura do Azure, seu namespace de provedor de recursos deve ser registrado uma vez com a assinatura escolhida. A Descoberta de Armazenamento do Azure tem o mesmo requisito. Um Proprietário ou Colaborador da subscrição pode executar esta ação. Executar essa ação de registro antes da implantação real do espaço de trabalho de Descoberta de Armazenamento permite que administradores com menos direitos implantem e usem o serviço de Descoberta de Armazenamento.
Importante
A assinatura deve ser registrada com os namespaces do provedor de recursos Microsoft.StorageDiscovery.
Registre um provedor de recursos:
Sugestão
Quando você implanta um espaço de trabalho de Descoberta de Armazenamento como Proprietário ou Colaborador de assinatura por meio do portal do Azure, sua assinatura é registrada automaticamente com esse namespace de provedor de recursos. Você só precisa executar o registro manualmente ao usar o Azure PowerShell ou a CLI.
Depois que uma assinatura é habilitada para esse namespace do provedor de recursos, ela permanece habilitada até ser cancelada manualmente. Você pode até mesmo excluir o último espaço de trabalho do Storage Discovery e sua assinatura ainda permanece habilitada. As implantações subsequentes do espaço de trabalho de Descoberta de Armazenamento exigem permissões reduzidas de um administrador. A seção a seguir contém um detalhamento de diferentes cenários de gerenciamento e suas permissões necessárias.
Decida o número de espaços de trabalho de que necessita
Um espaço de trabalho de Descoberta de Armazenamento precisa ser configurado com escopos. O artigo de componentes de gerenciamento compartilha detalhes sobre os escopos do espaço de trabalho. Os escopos são grupos lógicos de recursos de armazenamento. Por exemplo, um escopo pode se referir a todos os recursos de armazenamento de uma carga de trabalho ou departamento específico para o qual você deseja obter informações separadamente.
Como você só pode configurar um número limitado de escopos em um espaço de trabalho, talvez precise de mais de um espaço de trabalho para cobrir suas necessidades de relatórios de insights.
Se um espaço de trabalho for usado para informações de nível superior, você poderá criar um com um escopo para toda a sua propriedade de Armazenamento do Azure e, em seguida, adicionar escopos para cada departamento. Se um espaço de trabalho for designado para fornecer informações para cargas de trabalho específicas, você poderá criar um espaço de trabalho contendo um escopo para cada carga de trabalho.
Rever as etiquetas de recursos do Azure
Você pode selecionar quais recursos de armazenamento são incluídos em um escopo de espaço de trabalho selecionando primeiro assinaturas ou grupos de recursos específicos e, em seguida, filtrando os recursos de armazenamento dentro deles por marcas de recursos do Azure. É importante que você se familiarize com as tags de recursos disponíveis em seus recursos de armazenamento. Certifique-se de que eles sejam aplicados de forma consistente e, em seguida, cataloge-os para criar os escopos em seu espaço de trabalho. Planeje os escopos necessários para ter informações disponíveis por departamento, carga de trabalho ou outro agrupamento para o qual você tenha um uso.
Selecione uma região do Azure para sua implantação
Ao implantar um espaço de trabalho de Descoberta de Armazenamento, você precisa escolher uma região. A região selecionada determina onde as informações computadas sobre seus recursos de Armazenamento do Azure são armazenadas. Você ainda pode capturar informações para recursos de Armazenamento do Azure localizados em outras regiões. Uma prática recomendada geral é escolher a região para o seu espaço de trabalho de acordo com os requisitos de residência de metadados que se aplicam a você e mais próximos do seu local. Visualizar seus insights de um espaço de trabalho mais próximo de você pode ter uma ligeira vantagem de desempenho.
Os espaços de trabalho de Descoberta de Armazenamento podem ser criados nas seguintes regiões:
- Centro de França
- Canadá Central
- Leste dos EUA2
- Europa do Norte
- Europa Ocidental
- E.U.A. Oeste 2
- E.U.A. Centro-Sul
- Leste da Austrália
- Índia Central
- Leste do Japão
- Sul do Brasil
Um espaço de trabalho de Descoberta de Armazenamento pode abranger contas de armazenamento localizadas em qualquer região de nuvem pública. Se uma nova região de nuvem pública do Azure ficar disponível, pode haver um atraso até que os recursos de armazenamento dessa nova região sejam cobertos pelo serviço de Descoberta de Armazenamento.
Permissões
As permissões são gerenciadas por meio do RBAC ( Controle de Acesso Baseado em Função ) do Azure. Esta secção abrange:
- Permissão para os recursos de armazenamento para os quais você deseja obter informações do serviço de Descoberta.
- Considerações de permissão para um recurso de espaço de trabalho.
Permissões para seus recursos de armazenamento
Durante a criação de um espaço de trabalho de Descoberta de Armazenamento, você configura a raiz do espaço de trabalho. O artigo de componentes de gerenciamento fornece mais detalhes para essa configuração. Na raiz do espaço de trabalho, você lista pelo menos um e no máximo 100 recursos do Azure de diferentes tipos:
- subscrições
- grupos de recursos
A pessoa que implanta o espaço de trabalho deve ter, pelo menos, a atribuição de função Leitor no Controle de Acesso Baseado em Função (RBAC) para cada recurso na raiz do espaço de trabalho. Reader é o nível mínimo de permissão necessário. Colaborador e Proprietário também são suportados.
É possível que você veja uma assinatura listada no portal do Azure, para a qual você não tem essa atribuição de função de Leitor direto. Quando conseguir ver um recurso ao qual não tem uma atribuição de função, é muito provável que tenha permissões para um subrecurso nesta subscrição. Neste caso, a existência deste "pai" foi-lhe revelada, mas não tem direitos sobre o recurso de subscrição em si. Este exemplo também pode ser estendido a grupos de recursos. A falta de um Leitor ou de uma atribuição de função direta superior desqualifica um recurso do Azure de ser a base (raiz) de um espaço de trabalho.
As permissões só são validadas quando um espaço de trabalho é criado. Qualquer alteração nas permissões da conta do Azure que criou o espaço de trabalho, incluindo sua exclusão, não tem efeito sobre o espaço de trabalho ou a funcionalidade do serviço de Descoberta.
Considerações de permissão para um recurso de espaço de trabalho
O espaço de trabalho Descoberta de Armazenamento do Azure armazena as informações computadas para sua propriedade de armazenamento. Você pode acessar relatórios no portal do Azure ou usar essas informações por meio do Azure Copilot. Para acessar informações armazenadas em um espaço de trabalho, um usuário deve ter pelo menos a função RBAC Reader no espaço de trabalho. As atribuições de função de Colaborador e Proprietário também funcionam. Você pode fornecer acesso a informações a outro usuário atribuindo-lhe uma das três funções listadas anteriormente no espaço de trabalho.
| Cenário | Atribuições mínimas de funções RBAC necessárias |
|---|---|
| Registrar um namespace de provedor de recursos com uma assinatura | Subscrição: Contributor |
| Implantar um espaço de trabalho de descoberta de armazenamento (Namespace do provedor de recursos já registrado) |
Grupo de recursos: Contributor |
| Compartilhar as informações do Storage Discovery com outra pessoa | Espaço de trabalho de descoberta de armazenamento: Owner |
| Permitir que uma pessoa faça alterações na configuração do espaço de trabalho | Espaço de trabalho de descoberta de armazenamento: Contributor |
Atenção
Ao fornecer a outros usuários acesso a um espaço de trabalho, você está divulgando todas as informações do espaço de trabalho. Outros usuários podem não ter o privilégio de saber sobre a existência dos recursos do Azure ou informações sobre os dados que armazenam. Fornecer acesso a um espaço de trabalho não fornece acesso a uma conta de armazenamento individual, grupo de recursos ou assinatura. Os recursos individuais continuam a ser regidos pelo RBAC.