Symantec Cloud Workload Protection Configuración manual de una conexión con Azure Establezca una conexión con Microsoft Azure para autorizar a Cloud Workload Protection a que acceda al entorno de Azure e importe las instancias virtuales. Presione + en la esquina superior derecha para agregar varias conexiones con Azure. Nota: Antes de continuar, asegúrese de que tenga un Azure Active Directory creado. Realice las siguientes tareas para configurar manualmente una conexión con Azure: Es posible también configurar una conexión con Azure usando un script de PowerShell. Ver Configuración de una conexión de Azure Tarea Cree una aplicación para Cloud Workload Protection en Azure Active Directory. Descripción Cree una aplicación en su Azure Active Directory que Cloud Workload Protection pueda usar para acceder a las suscripciones. Anote el Id. de aplicación. Crear una aplicación en Azure Active Directory Anote el Id. de directorio de su Azure Active Directory. Obtenga el Id. de directorio Proporcione los permisos necesarios a la aplicación. Asigne los siguientes permisos a la aplicación: Permiso para acceder a la API de administración de servicio de Azure. Después de asignar el permiso, cree y anote la Clave secreta. Delegar permiso a la nueva aplicación para acceder a la API de administración del servicio de Azure Permiso para acceder a las suscripciones que desea proteger usando Cloud Workload Protection. Asigne un rol a la aplicación. Por ejemplo, Lector o un rol personalizado. Si desea permitir que Cloud Workload Protection detenga una máquina virtual sin protección
Configuración manual de una conexión con Azure 2 Tarea Descripción directamente, es necesario crear un rol personalizado. El rol Lector no tiene privilegios adecuados. Otorgar permiso a la aplicación para acceder a las suscripciones Cree un rol personalizado con el privilegio de detención de instancia. Cree un rol personalizado que le permita usar la opción Detener instancia para detener una máquina virtual sin protección desde el portal de Cloud Workload Protection. Este paso es opcional: cree el rol personalizado si desea usar Detener instancia. Cree una de conexión Azure en la página Configuración de Cloud Workload Protection. Necesitará Azure PowerShell para crear el rol personalizado. Creación de un rol personalizado con el privilegio de detención de instancia Cree una conexión en la página Configuración > Conexión de Azure del portal de Cloud Workload Protection. Necesitará especificar el Id. de directorio, el Id. de aplicación y la Clave secreta que anotó. Creación de la conexión en la página Configuración de Cloud Workload Protection También puede mirar el siguiente video que demuestra este procedimiento. Ver Video: Configuración de una conexión con Azure Crear una aplicación en Azure Active Directory Cree una aplicación en Registros de aplicaciones en Azure Active Directory que Cloud Workload Protection pueda usar para acceder a sus máquinas virtuales Azure. Una vez que se crea la aplicación, anote el Id. de aplicación. Este Id. se requiere para configurar la conexión con Azure en el portal de Cloud Workload Protection. 1 Inicie sesión en el portal de Azure y, en la barra de navegación izquierda, presione Azure Active Directory. 2 Presione Registros de aplicaciones. 3 Presione Agregar y proporcione los siguientes detalles: Nombre : un nombre para la aplicación. Por ejemplo, Symantec_CWP. Tipo de aplicación : seleccione Nativo.
Configuración manual de una conexión con Azure 3 URI de redirección : escriba cualquier URI válido. Es posible escribir un URI que no exista, pero debe estar en el formato válido. Por ejemplo, http://symantec.com/azure_cwp. 4 Presione Crear. 5 Presione la aplicación creada recientemente y copie el Id. de aplicación. Nota: Anote el Id. de aplicación ; es necesario especificar lo mismo en el portal de Cloud Workload Protection más tarde. Obtenga el Id. de directorio El Id. de directorio es el identificador único de su Azure Active Directory. Este Id. se requiere para configurar la conexión con Azure en el portal de Cloud Workload Protection. 1 En la hoja de Azure Active Directory, presione Propiedades. 2 Copie el Id. de directorio. Anote este Id. de directorio; es necesario especificar lo mismo en el portal de Cloud Workload Protection más tarde. Delegar permiso a la nueva aplicación para acceder a la API de administración del servicio de Azure Es necesario proporcionar permiso a la nueva aplicación para acceder a la API de administración de servicios de Windows Azure y crear una clave secreta. Anote la clave secreta. Esta clave se requiere para configurar la conexión con Azure en el portal de Cloud Workload Protection. 1 Seleccione la aplicación que creó para Cloud Workload Protection y presione Todas las opciones. El portal abre la hoja Configuración. 2 Presione Permisos necesarios > Agregar > Seleccionar una API. 3 Seleccione API de administración de servicios de Microsoft Azure y presione Seleccionar. 4 En Seleccionar permisos, seleccione la opción y presione Seleccionar.
Configuración manual de una conexión con Azure 4 5 En la hoja Configuración, presione Claves. 6 Agregue una descripción y el vencimiento de la clave, y presione Guardar. El campo Valor muestra la clave secreta. Anote la clave secreta y almacénela en un lugar seguro. Manténgala a mano para referencia futura. Nota: No comparta la clave secreta con ninguna persona no autorizada. Otorgar permiso a la aplicación para acceder a las suscripciones Asigne un rol a la nueva aplicación. El rol define los permisos para que la nueva aplicación acceda a las suscripciones. Para agregar más suscripciones, repita este procedimiento para cada suscripción. 1 En el portal de Azure, presione Suscripciones. 2 Seleccione la suscripción para la cual desea conceder el permiso a la aplicación y presione Control de acceso (IAM). 3 Presione Agregar > Seleccionar rol. 4 Seleccione el rol que desee otorgarle al usuario. Por ejemplo, Lector. Un lector puede ver todo, pero no puede realizar cambios en los recursos de una suscripción. Nota: Si desea iniciar la operación Detener instancia desde el portal web de Cloud Workload Protection, es necesario proporcionar derechos adicionales a este usuario. Detener instancia le permite detener una instancia sin protección. Si proporciona solamente el rol Lector, no podrá iniciar la operación de detención de instancia. Symantec recomienda crear un rol personalizado con un derecho adicional para detener una instancia. 5 En la hoja Agregar usuarios, seleccione la aplicación que creó y presione Seleccionar. Creación de un rol personalizado con el privilegio de detención de instancia Cree un rol personalizado que pueda asignar a la nueva aplicación para acceder a sus suscripciones de Azure. Este procedimiento requiere Azure PowerShell. Para obtener más información, puede consultar la documentación de Azure
Configuración manual de una conexión con Azure 5 Para crear un rol personalizado para Cloud Workload Protection 1 Cree un archivo json con el privilegio necesario para las suscripciones. Consulte el siguiente código como referencia: { "Name": "Symc DCS Virtual Machine Role", "Description": "Lets you view everything and stop virtual machine ins "Actions": [ "*/read", "Microsoft.Compute/virtualMachines/powerOff/action" ], "NotActions": [ } ], "AssignableScopes": [ "/subscriptions/c1c29229-xxxx-xxxx-xxxx-21e6627f "/subscriptions/e24f4a4f-xxxx-xxxx-xxxx-3426ec778054" ] Es posible reemplazar los Id. de suscripción y usar este código para crear el archivo json. 2 Cree un archivo de script de PowerShell (ps1) con los siguientes comandos: # Login to Azure using an account with administrator privileges. Login-AzureRmAccount -ErrorAction Stop "Attempting to create a new custom role" # Create a new custom role which has # * Reader role rights as well as # * the right to power off virtual machines. New-AzureRmRoleDefinition -InputFile "json_file_name.json" -ErrorAction St "Custom role created successfully." Reemplace json_file_name.json por el nombre de archivo que ha especificado para el archivo json que creó en el paso anterior.
Configuración manual de una conexión con Azure 6 3 Ejecute el archivo de script de PowerShell (ps1) usando Azure PowerShell. 4 En la ventana de autenticación, escriba las credenciales de un usuario que tenga el rol Propietario o Administrador de accesos de usuarios. El nuevo rol personalizado se enumera en la lista de roles para las suscripciones especificadas. Creación de la conexión en la página Configuración de Cloud Workload Protection Una vez que haya finalizado la configuración en el portal de Azure, especifique los valores en el portal web de Cloud Workload Protection. 1 En el portal de Cloud Workload Protection, vaya a Configuración > Conexión con Azure y presione el icono +. 2 En Información básica, especifique un nombre y una descripción para la conexión de Azure. 3 En Parámetros de conexión, especifique los valores Id. de directorio, Id. de aplicación y Clave secreta que anotó mientras realizaba la configuración en el portal de Azure. 4 Especifique un valor de Intervalo de sincronización y presione Guardar. Cloud Workload Protection comienza a importar las máquinas virtuales en las suscripciones de Azure. Una vez que se completa la importación, se pueden ver las máquinas virtuales en la ficha Instancias del portal web de Cloud Workload Protection.