Consultar dados de inventário de várias regiões e contas
O AWS Systems Manager Inventory se integra ao Amazon Athena para ajudar você a consultar dados do inventário de várias Regiões da AWS e Contas da AWS. A integração com o Athena usa a sincronização de dados dos recursos para que você possa visualizar os dados do inventário de todas as instâncias gerenciadas na página Detailed View (Visualização detalhada) no console do AWS Systems Manager.
Importante
Este recurso usa o AWS Glue para rastrear os dados no bucket do Amazon Simple Storage Service (Amazon S3) e no Amazon Athena para consultar os dados. Dependendo da quantidade de dados rastreados e consultados, você pode ser cobrado pelo uso desses serviços. Com o AWS Glue, você pode pagar uma taxa horária, cobrada por segundo, para crawlers (descoberta de dados) e trabalhos de ETL (processamento e carga de dados). Com o Athena, você é cobrado de acordo com a quantidade de dados verificados por cada consulta. Recomendamos que você visualize as orientações de preço para esses serviços antes de usar a integração do Amazon Athena com o Systems Manager Inventory. Para obter mais informações, consulte Preço do Amazon Athena
Você pode visualizar dados de inventário na página Detail View (Detalhes do inventário) em todas as Regiões da AWS onde o Amazon Athena estiver disponível. Para obter uma lista das regiões e dos endpoints compatíveis, consulte Amazon Athena Service Endpoints no Referência geral da Amazon Web Services.
Antes de começar
A integração com o Athena usa aos sincronização de dados d recursos. Você deve definir e configurar a sincronização de dados de recursos para usar esse recurso. Para ter mais informações, consulte Demonstração: usar a sincronização de dados de recursos para agregar dados do inventário.
Além disso, lembre-se de que a página Detail View (Visualização de detalhes) exibe dados de inventário para o proprietário do bucket central do Amazon S3 usado pela sincronização de dados dos recursos. Se você não for o proprietário do bucket central do Amazon S3, não poderá ver os dados de inventário na página Detail View (Visualização de detalhes).
Configurar o acesso
Antes de consultar e visualizar dados de diversas contas e regiões na página Visualização detalhada no console do Systems Manager, é necessário configurar a entidade do IAM com permissões para a visualização de dados.
Se os dados de inventário estiverem armazenados em um bucket do Amazon S3 que usa criptografia do AWS Key Management Service (AWS KMS), você também deve configurar a entidade do IAM e o perfil de serviço Amazon-GlueServiceRoleForSSM para a criptografia do AWS KMS.
Tópicos
Como configurar a entidade do IAM para acessar a página “Visualização detalhada”
A seguir, as permissões mínimas requeridas para visualizar os dados de inventário na página Visualização detalhada são descritas.
A política gerenciada AWSQuicksightAthenaAccess.
O PassRole a seguir e o bloco de permissões adicionais requerido
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGlue", "Effect": "Allow", "Action": [ "glue:GetCrawler", "glue:GetCrawlers", "glue:GetTables", "glue:StartCrawler", "glue:CreateCrawler" ], "Resource": "*" }, { "Sid": "iamPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "glue.amazonaws.com" } } }, { "Sid": "iamRoleCreation", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:AttachRolePolicy" ], "Resource": "arn:aws:iam::account_ID:role/*" }, { "Sid": "iamPolicyCreation", "Effect": "Allow", "Action": "iam:CreatePolicy", "Resource": "arn:aws:iam::account_ID:policy/*" } ] }
(Opcional) Se o bucket do Amazon S3 usado para armazenar dados de inventário for criptografado usando o AWS KMS, você também deverá adicionar o seguinte bloco à política:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:Region:account_ID:key/key_ARN" ] }
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
-
Usuários e grupos no AWS IAM Identity Center:
Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center.
-
Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.
-
Usuários do IAM:
-
Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
-
(Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.
-
(Opcional) Configure as permissões para exibição de dados criptografados do AWS KMS
Se o bucket do Amazon S3 usado para armazenar os dados de inventário for criptografado usando o AWS Key Management Service (AWS KMS), você deverá configurar a entidade do IAM e o perfil Amazon-GlueServiceRoleForSSM com permissões kms:Decrypt para a chave do AWS KMS.
Antes de começar
Para fornecer as permissões kms:Decrypt para a chave do AWS KMS, adicione o bloco de política a seguir à entidade do IAM:
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:Region:account_ID:key/key_ARN" ] }
Caso ainda não tenha feito isso, conclua esse procedimento e adicione permissões kms:Decrypt para a chave do AWS KMS.
Use o procedimento a seguir para configurar a função Amazon-GlueServiceRoleForSSM com permissões kms:Decrypt para a chave AWS KMS.
Para configurar a função Amazon-GlueServiceRoleForSSM com permissions kms:Decrypt
Abra o console do IAM, em https://console.aws.amazon.com/iam/
. -
No painel de navegação, selecione Roles (Funções) e use o campo de pesquisa para localizar a função Amazon-GlueServiceRoleForSSM. A página Summary é aberta.
-
Use o campo de pesquisa para localizar a função Amazon-GlueServiceRoleForSSM. Selecione o nome de perfil . A página Summary é aberta.
-
Selecione o nome de perfil . A página Summary é aberta.
-
Escolha Add inline policy (Adicionar política em linha). A página Create policy (Criar política) é aberta.
-
Selecione a guia JSON.
-
Exclua o texto JSON existente no editor e, em seguida, copie e cole a seguinte política no editor JSON.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:Region:account_ID:key/key_ARN" ] } ] } -
Escolha Review policy (Revisar política)
-
Na página Revisar política, insira um nome no campo Nome.
-
Escolha Criar política.
Consultar dados na página de visualização detalhada do inventário
Use o procedimento a seguir para visualizar os dados do inventário de várias Regiões da AWS e Contas da AWS na página Detailed Inventory View (Visualização detalhada do inventário) no Systems Manager Inventory.
Importante
A página Detailed View (Visualização detalhada) do Inventory só está disponível nas Regiões da AWS que oferecem o Amazon Athena. Se as seguintes guias não forem exibidas na página Systems Manager Inventory, isso significa que o Athena não está disponível na região e que você não pode usar a Detailed View (Visualização detalhada) para consultar os dados.
Para visualizar dados de inventário de várias Regiões e contas no console do AWS Systems Manager
Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. No painel de navegação, escolha Inventory.
-
Escolha a guia Detailed View (Visualização detalhada).
-
Escolha a sincronização de dados de recursos para a qual você deseja consultar dados.
-
Na lista Inventory Type (Tipo de inventário), escolha o tipo de dados de inventário que você deseja consultar e, em seguida, pressione Enter.
-
Para filtrar os dados, selecione a barra Filtro e escolha uma opção de filtro.
Você pode usar o botão Export to CSV (Exportar para CSV) para visualizar a consulta atual definida em um aplicativo de planilha, como o Microsoft Excel. Você também pode usar os botões Query History (Histórico de consultas) e Run Advanced Queries (Executar consultas avançadas) para visualizar detalhes do histórico e interagir com os dados no Amazon Athena.
Editar a programação do crawler do AWS Glue
Por padrão, o AWS Glue rastreia os dados de inventário no bucket central do Amazon S3 duas vezes por dia. Se você costuma alterar os tipos de dados a serem coletados em seus nós, você pode querer rastrear os dados com mais frequência, conforme descrito no procedimento a seguir.
Importante
O AWS Glue cobra sua Conta da AWS com base em uma taxa horária, cobrada por segundo, para crawlers (descoberta de dados) e trabalhos de ETL (processamento e carga de dados). Antes de alterar a programação do crawler, veja a página de definição de preço do AWS Glue
Para alterar a programação do crawler de dados de inventário
Abra o console do AWS Glue em https://console.aws.amazon.com/glue/
. -
No painel de navegação, escolha Rastreadores.
-
Na lista de crawlers, escolha a opção ao lado do crawler de dados do Systems Manager Inventory. O nome do crawler usa o seguinte formato:
AWSSystemsManager-s3-bucket-name-Region-account_ID -
Escolha Action (Ação) e, em seguida, escolha Edit crawler (Editar crawler).
-
No painel de navegação, escolha Schedule (Programar).
-
No campo Cron expression (expressão Cron), especifique uma nova programação usando um formato cron. Para obter mais informações sobre o formato cron, consulte Programações baseadas em tempo para trabalhos e crawlers no Manual do desenvolvedor do AWS Glue.
Importante
Você pode pausar o crawler para interromper as cobranças do AWS Glue. Se você pausar o crawler ou alterar a frequência para que os dados sejam monitorados com menos frequência, a Detailed View (Visualização detalhada) do Inventory poderá exibir dados não atualizados.
