Điều kiện tiên quyết
- Subscription Azure với quyền Owner hoặc User Access Administrator.
- Quyền tạo app registration trong Azure Active Directory.
- Quyền gán role trên các subscription đích.
Role Reader là đủ để phân tích chi phí, kiểm tra bảo mật, và kiểm tra tài nguyên. Chỉ cấp role ghi khi bạn cần agent thực hiện các hành động trên tài nguyên Azure.
Thiết lập
Đăng ký ứng dụng
Điều hướng đến Azure Portal và vào Azure Active Directory → App registrations → New registration:
- Name:
CloudThinker-ReadOnly - Supported account types: Accounts in this organizational directory only
- Nhấp Register
Ghi chú thông tin ứng dụng
Sao chép và lưu các giá trị sau từ tổng quan ứng dụng:
- Application (client) ID
- Directory (tenant) ID
Tạo client secret
Trong app registration của bạn, vào Certificates & secrets → New client secret. Thêm mô tả, đặt thời hạn (khuyến nghị: 12 tháng) và nhấp Add. Sao chép giá trị secret ngay lập tức — sẽ không hiển thị lại.
Gán role Reader
Vào Subscriptions → Your Subscription → Access control (IAM) → Add → Add role assignment. Chọn role Reader, tìm và chọn app registration của bạn, rồi nhấp Save.
Thiết lập đa subscription
Đối với tổ chức có nhiều subscription Azure:Dùng quyền truy cập Management Group
Gán role Reader ở cấp Management Group để bao quát tất cả subscription trong phạm vi.
Thêm quyền truy cập Cost Management
Cấp Cost Management Reader ở cấp billing account để phân tích chi phí đa subscription.
Chi tiết kết nối
| Trường | Mô tả | Ví dụ |
|---|---|---|
| Client ID | Application (client) ID của app registration | 00000000-0000-0000-0000-000000000000 |
| Client Secret | Giá trị secret được tạo trong Certificates & secrets | — |
| Tenant ID | Directory (tenant) ID của Azure AD của bạn | 00000000-0000-0000-0000-000000000000 |
| Subscription ID | ID subscription Azure cần kết nối | 00000000-0000-0000-0000-000000000000 |
Quyền cần thiết
Tối thiểu (phân tích chỉ đọc)
Khuyến nghị (phân tích đầy đủ)
Khả năng của agent
Sau khi kết nối, các agent có thể phân tích và tối ưu tài nguyên Azure của bạn.| Agent | Khả năng Azure |
|---|---|
| Alex | Phân tích chi phí, right-sizing VM, đề xuất Reserved Instance, tối ưu tài nguyên |
| Oliver | Phát hiện Security Center, kiểm tra Azure AD, kiểm tra tuân thủ, vi phạm policy |
| Tony | Hiệu năng SQL Database, tối ưu Cosmos DB, điều chỉnh PostgreSQL |
| Kai | Quản lý cluster AKS, tối ưu container, phân tích workload |
Xác minh kết nối
Ví dụ câu lệnh
Xử lý sự cố
Xác thực thất bại
Xác thực thất bại
Xác minh Tenant ID, Client ID và Client Secret đúng. Kiểm tra client secret chưa hết hạn và app registration đang ở đúng Azure AD tenant. Đảm bảo không có conditional access policy nào đang chặn xác thực.
Client secret hết hạn
Client secret hết hạn
Vào Azure AD → App registrations → Your app → Certificates & secrets, tạo client secret mới và cập nhật secret trong cài đặt kết nối CloudThinker.
Thiếu tài nguyên
Thiếu tài nguyên
Xác minh role Reader được gán đúng subscription. Kiểm tra xem tài nguyên có trong subscription khác không và đảm bảo ứng dụng có quyền truy cập tất cả subscription cần thiết.
Không có dữ liệu chi phí
Không có dữ liệu chi phí
Xác minh role Cost Management Reader đã được gán. Kiểm tra quyền truy cập Cost Management + Billing và đảm bảo quyền truy cập billing account EA/MCA được cấu hình nếu áp dụng.
Bảo mật
- Quyền tối thiểu — chỉ cấp các quyền mà agent cần cho trường hợp sử dụng của bạn; bắt đầu với quyền chỉ đọc và mở rộng sau.
- Chỉ đọc theo mặc định — sử dụng thông tin xác thực chỉ đọc trừ khi bạn muốn agent thực hiện thay đổi qua kết nối này.
- Xoay vòng thông tin xác thực — xoay vòng khóa và token theo lịch trình thông thường của bạn; CloudThinker sẽ lấy giá trị mới khi bạn cập nhật kết nối.
- Thu hồi khi bàn giao — xóa thông tin xác thực tại nhà cung cấp khi bạn xóa một kết nối hoặc khi đồng nghiệp rời nhóm.
- Đặt thời hạn secret — luôn đặt thời hạn cho client secret (tránh “Never”); đặt lịch nhắc để xoay vòng trước khi hết hạn.
- Dùng role Reader — gán Reader thay vì Contributor; các thao tác đọc của CloudThinker không bao giờ yêu cầu quyền ghi.
Liên quan
Kết nối AWS
Kết nối Amazon Web Services
Agent Oliver
Agent tập trung vào bảo mật cho tuân thủ Azure