Aktivieren von AWS Config und Erstellen eines Aggregators

FlexNet Manager Suite 2023 R1 (Standortgebundene Implementierung)

Um diese Methode verwenden zu können, müssen Sie AWS Config auf allen Konten aktivieren, von denen Sie Ressourcendaten erfassen möchten. Um Daten von diesen Konten abrufen zu können, muss der Aggregator erstellt und mit entsprechenden Rechten ausgestattet werden.

Diese Methode wird in AWS konfiguriert und ist ganz einfach. Administratoren müssen AWS Config auf ausgewählten oder allen Konten aktivieren. Auf einem dieser Konten (am bestem dem Management-Konto für die Verwaltung) müssen Sie einen Aggregator erstellen, um alle Daten auf dieses eine Konto zu ziehen. Ein Aggregator ist ein AWS Config-Ressourcentyp, der AWS Config-Konfigurations- und Compliance-Daten von diversen Konten und Regionen erfasst und auf einem einzelnen Konto in einer Region zusammenführt. Beim Erstellen des Aggregators haben Sie die Möglichkeit, eine Liste mit durch Kommata getrennten Konten-IDs zum Abrufen der Daten zu erstellen oder Sie fügen Ihr gesamtes Unternehmen hinzu. Wenn Sie das gesamte Unternehmen hinzufügen, werden Daten von jedem einzelnen Konto, das zu Ihrem Unternehmen gehört, abgerufen.

Anmerkung: AWS Config ist eine Bezahloption, die von Amazon Web Services bereitgestellt wird.

Bitte schauen Sie in der Dokumentation von Amazon nach. Dort finden Sie die einzelnen Schritte zum Aktivieren von AWS Config auf allen Konten und zum Erstellen eines Aggregators, der Daten erfasst und unter einem einzelnen Konto zusammenführt:

Übersicht über die Integrationsarchitektur von FlexNet Manager Suite und AWS Config

AWS Config-Integration, die als „Inventarisierungsadapter“ bereitgestellt wird, der auf der Inventarisierungsstation des Kunden ausgeführt wird.
Verwendet AWS PowerShell SDK, um eine Anfrage an einen AWS Config-Aggregator zu richten und die gewünschten Informationen abzurufen.
Schreibt die erfassten AWS-Daten in eine ZIP-Datei, die in Flexera One Cloud in FlexNet Manager Suite hochgeladen wird.
FlexNet Manager Suite führt den SQL-Reader aus, um die Daten in der Produktdatenbank bereitzustellen.
Zuletzt werden die Daten normalisiert und den Nutzern auf der Anwendungsoberfläche angezeigt.

AWS-Config-Berechtigungsrichtlinie

Damit die Inventarisierungsstation eine Verbindung zum Aggregator herstellen kann, muss ein Administrator eine Berechtigungsrichtlinie in AWS konfigurieren. Die Richtlinie ist für das Konto erforderlich, das zum Senden der Anfrage an den Aggregator verwendet werden soll, und gibt den Zugangslevel an, den die Inventarisierungsstation benötigt, um eine Verbindung zum AWS-Konto herzustellen.

Die folgenden Berechtigungen sind erforderlich:

AWS-Config-Berechtigungen:
- Unter Aktionen:
  - List:DescribeConfigurationAggregators
  - Read:SelectAggregateResourceConfig
- Unter Ressourcen:
  - Gewähren Sie auf diesem Konto entweder die Berechtigung zum Amazon Resource Name (ARN) des Aggregators oder zu „Beliebig“. Der ARN ist eine eindeutige Kennung für eine Ressource in AWS.
Unternehmensberechtigungen: Diese Berechtigungen sind optional.
- List:ListAccounts. Hinweis: Wenn diese Berechtigung nicht bereitgestellt wird, ist nur die Konto-ID verfügbar, die Anzeigenamen der Konten sind dagegen nicht verfügbar.
STS-Berechtigungen:
- Unter Aktionen:
  - Read:GetCallerIdentity

Führen Sie nach Erstellen der Berechtigungsrichtlinie eine der folgenden Aktionen aus:

Weisen Sie die Richtlinie einem IAM-Benutzer zu, wenn für die Verbindung mit AWS ein Zugriffsschlüssel und ein Geheimer Schlüssel verwendet werden.
Weisen Sie die Richtlinie einer Rolle auf einer EC2-Instanz zu, auf der die Inventarisierungsstation ausgeführt wird.

Einrichten des AWS-Config-Adapters

Sobald AWS Config aktiviert und ein Aggregator eingerichtet wurde, gehen Sie folgendermaßen vor, um eine Verbindung mit AWS auf der Inventarisierungsstation herzustellen. Die Inventarisierungsstation ist für das Hochladen der Daten in die zentralen Betriebsdatenbanken von FlexNet Manager Suite zuständig.

So erstellen Sie die Verbindung zu AWS Config über die FlexNet Beacon-Anwendungsoberfläche der Inventarisierungsstation:

Melden Sie sich bei der gewünschten Inventarisierungsstation an.
Tipp: Für das Aufrufen der Oberfläche von FlexNet Beacon ist eine Anmeldung mit Administratorrechten erforderlich.
Wählen Sie links aus dem Navigationsbereich die Seite Inventory systems (Inventarisierungssysteme) aus. Zum Anlegen einer neuen Verbindung klicken Sie auf der rechten Seite der geteilten Schaltfläche New... (Neu) auf den Abwärtspfeil und wählen Sie die Option Powershell.
Das Dialogfeld Create PowerShell Source Connection (PowerShell-Quellverbindung erstellen) wird angezeigt.
Tipp: Mit der Schaltfläche New... wird standardmäßig eine Verbindung für Microsoft SQL Server erstellt. Wenn Sie den Abwärtspfeil in der geteilten Schaltfläche verwenden, können Sie zwischen den Verbindungen SQL Server, PowerShell, Spreadsheet (Kalkulationstabelle) und Other (Sonstige) wählen. Wenn Sie eine Verbindung zu einer Microsoft SQL Server-Datenbank herstellen, verwenden Sie jedoch (unabhängig vom Quelltyp der Verbindung) nur die Option SQL Server.

Legen Sie die Werte in diesem Dialogfeld folgendermaßen fest:

Steuerelement	Kommentare
Connection Name (Verbindungsname)	Ein aussagekräftiger Name für diese Verbindung, etwa `AWS_Config_Ressourcendaten`. Der Name kann alphanumerische Zeichen, Unterstriche oder Leerstellen enthalten, muss aber entweder mit einem Buchstaben oder einer Zahl beginnen. Wenn Daten über diese Verbindung importiert werden, entspricht der Name des Datenimport-Tasks dem Verbindungsnamen.
Source Type (Quelltyp)	Wählen Sie Amazon Web Services aus dieser Liste aus.
Use Proxy (Proxy verwenden)	Wenn Sie einen Proxyserver verwenden, um Internetzugang bereitzustellen, erfassen (oder ändern) Sie die Werte im Bereich Proxy Settings (Proxyeinstellungen) des Dialogfensters, um die Proxyserververbindung zu konfigurieren.
Proxy Server (Proxyserver)	Geben Sie die Adresse des Proxyservers unter Verwendung von HTTP, HTTPS oder einer IP-Adresse an. Verwenden Sie das Format `https://ProxyServerURL:PortNumber`, `http://ProxyServerURL:PortNumber` oder `IPAddress:PortNumber)`. Dieses Feld ist nur aktiv, wenn das Kontrollkästchen Use Proxy (Proxy verwenden) markiert ist.
Username (Benutzername) und Password (Kennwort)	Wenn Ihr Unternehmen einen authentifizierten Proxy verwendet, geben Sie hier den Benutzernamen und das Kennwort eines Kontos an, das über die Berechtigung zum Zugriff auf den Proxyserver verfügt, der im Feld Proxy Server angegeben ist. Diese Felder sind aktiv, wenn das Kontrollkästchen Use Proxy (Proxy verwenden) markiert ist.
Adapter type (Adaptertyp)	Vorgegeben wird der Wert AWS Config. Übernehmen Sie für diese Methode die Voreinstellung für den Adaptertyp. Wählen Sie nicht Direct aus. Direct (Direkt) stellt eine direkte Verbindung mit jedem Konto her, um Inventar abzurufen, und wird für die 3 anderen Methoden verwendet, die auf der Seite Verwalten von AWS-Verbindungen beschrieben sind.
Access key (Zugriffsschlüssel)	Der Zugriffsschlüssel für das Konto, auf dem der Aggregator vorhanden ist. Er wird für die Verbindung mit dem IAM-Benutzer verwendet. Für den IAM-Benutzer ist die entsprechende Berechtigung erforderlich, um den Namen und die Region auf dem Konto abzufragen, für das der Zugriffsschlüssel bereitgestellt wurde. Wenn der Kunde die Inventarisierungsstation auf einer EC2-Instanz ausführt, ist der Zugriffsschlüssel optional. Ein Administrator kann der EC2-Instanz eine Rolle zuweisen, mit der er nur das Recht einräumt, eine Region und einen Namen für den Aggregator anzugeben.
Secret key (Geheimer Schlüssel)	Der Geheime Schlüssel für das Konto, auf dem der Aggregator vorhanden ist. Er wird für die Verbindung mit dem IAM-Benutzer verwendet. Für den IAM-Benutzer ist die entsprechende Berechtigung erforderlich, um den Namen und die Region auf dem Konto abzufragen, für das der Geheime Schlüssel bereitgestellt wurde. Wenn der Kunde die Inventarisierungsstation auf einer EC2-Instanz ausführt, ist der Geheime Schlüssel optional. Ein Administrator kann der EC2-Instanz eine Rolle zuweisen, mit der er nur das Recht einräumt, eine Region und einen Namen für den Aggregator anzugeben.
Aggregator region (Region des Aggregators)	Die Region, aus der Sie Daten aggregieren möchten. Eine oder mehrere Regionen werden konfiguriert, wenn Sie einen Aggregator in AWS erstellen.
Aggregator name (Name des Aggregators)	Der Name des Aggregators, der AWS Config-Konfigurations- und Compliance-Daten von diversen Konten und Regionen erfassen und auf einem einzelnen Konto in einer Region zusammenführen soll.
Connection is in test mode (do not import results) [Verbindung befindet sich im Testmodus (importieren Sie die Ergebnisse nicht)]	Steuert das Hochladen und Importieren von Daten über diese Verbindung: Wenn dieses Kontrollkästchen deaktiviert ist, ist die Verbindung im Produktivmodus. Durch diesen Adapter gesammelte Daten werden auf den zentralen Server hochgeladen und (zu gegebener Zeit) dort in die Datenbank importiert. Wenn das Kontrollkästchen aktiviert ist: Wird der Adapter für diese Verbindung ausgeführt, und es werden Daten in die Zwischendatei im Stagingordner auf der Inventarisierungsstation geschrieben (%CommonAppData%\Flexera Software\Beacon\IntermediateData) Wird das unmittelbare Hochladen, das normalerweise auf die Datensammlung folgt, unterdrückt, sodass Sie die Inhalte der Datei überprüfen können. Wird der Nachführungsprozess, bei dem angehaltene Uploads erneut durchgeführt werden und der normalerweise über Nacht geplant ist, wie üblich durchgeführt, sodass die Datei auf den zentralen Server hochgeladen wird. Werden auf dem zentralen Server die Datei-Inhalte verworfen (und nicht in die zentrale Datenbank importiert).
Overlapping Inventory Filter (Filter für sich überschneidendes Inventar)	Dieses Steuerelement gilt nicht für den AWS Config-Adapter, und Sie können die vorgegebenen Einstellungen beibehalten.

Klicken Sie auf Test Connection (Verbindung testen).
Dadurch wird sichergestellt, dass Sie entweder mit dem Zugriffsschlüssel oder dem Geheimen Schlüssel oder ohne die Schlüssel, wenn sich die Konten auf einer EC2-Instanz befinden, eine Verbindung zu den Konten herstellen können.
- Wenn die Verbindung hergestellt werden kann, klicken Sie auf OK, um die Meldung zu schließen. Klicken Sie auf Save (Speichern), um das Hinzufügen abzuschließen. Die Verbindung wird der Liste hinzugefügt (oder in der Liste aktualisiert).
- Kann keine Verbindung hergestellt werden, wird eine entsprechende Fehlermeldung angezeigt. Klicken Sie auf OK, um die Meldung zu schließen. Geben Sie die Verbindungsdetails an, und testen Sie die Verbindung erneut.
  Sie können die Verbindungsdetails nicht speichern, wenn der Verbindungstest fehlgeschlagen ist. Wenn Sie den Verbindungstest nicht erfolgreich abschließen können, klicken Sie auf Cancel (Abbrechen), um das Hinzufügen dieser Verbindungsdetails abzubrechen.
Klicken Sie im Dialogfenster „FlexNet Beacon PowerShell Source Connection“ auf Speichern, um die Verbindung zu speichern.
Wählen Sie Ihre neue Verbindung aus der angezeigten Liste aus, und klicken Sie auf Schedule... (Planen).
Wählen Sie im eingeblendeten Dialogfenster den Namen des von Ihnen gewählten Zeitplans für die Inventarisierung über diese Verbindung aus und klicken Sie auf OK. Hinweis: Der Standardzeitplan für den AWS-Config-Adapter ist auf 30 Minuten eingestellt. Der Aggregator meldet nur aktive Ressourcen zurück. Die Ressource muss also vorhanden sein, damit sie zurückgemeldet wird. Wenn eine Ressource nach dem Lauf des Adapters erstellt und vor dem nächsten Lauf wieder gelöscht wird, wird die Ressource nicht importiert.
Klicken Sie unten auf der FlexNet Beacon-Anwendungsoberfläche der Inventarisierungsstation auf Save (Speichern) und, wenn Sie fertig sind, auf Exit (Beenden).

Nach dem erfolgten Datenimport werden EC2-Instanzen, dedizierte Hosts, Oracle-RDS-Datenbanken und Kontendetails mit Kontennamen in FlexNet Manager Suite auf den entsprechenden Seiten angezeigt. Hinweis: Reservierte Instanzen werden vom AWS Config-Adapter nicht abgerufen.

Anmerkung: Weitere Informationen zu den auf der Seite Inventory Systems (Inventarisierungssysteme) in FlexNet Beacon verfügbaren Vorgängen finden Sie unter Die Seite „Inventarisierungssysteme“ in der Onlinehilfe. Informationen zur Planung von Datenimporten über diese Verbindung finden Sie ebenfalls in der Onlinehilfe unter Planen einer Verbindung.