# Plataforma FinOps Pier - Configurações Básicas Azure EA
## Processo de Configurações Básicas para a Plataforma FinOps da Pier Cloud
#### Bem-vindo à Pier Cloud!
Esse documento possui como objetivo, ser um guia para que você possa preparar o ambiente, a fim de que a Pier Cloud realize a instalação dos produtos da Plataforma em sua conta.
O processo irá permitir à Pier Cloud informação de leitura de billing sem qualquer possibilidade de alteração ou deleção de dados de sua conta (Lighthouse). E também, acessos de leitura e edição de itens relacionados à otimização (CCA/Autofix).
As configurações presentes nesta documentação servem para habilitar os módulos: Lighthouse, CCA e Autofix para Azure.
### Configurações do Produto:
* Lighthouse
#### Pré Requisito e Configuração - API Gerenciamento de Custos:
Este passo deve ser realizado por um usuário com a role de Enterprise Administrator.
Para verificar quem possui essa role, siga os passos abaixo no console Azure:
1. Acesse Cost Management + Billing;
2. Navegue até Access Control (IAM);
3. Na listagem de usuários, identifique quem tem a role de Enterprise Administrator.
Observação: Na imagem ilustrada abaixo, você pode tanto adicionar um Enterprise Administrator quanto verificar quais usuários já possuem essa permissão.
1. Autentique-se no browser com o usuário Enterprise Admin, através do [console Azure](https://azure.microsoft.com/pt-br/get-started/azure-portal);
2. Acesse este link: [Role Assignments - Put - REST API (Azure Billing) | Microsoft Learn](https://learn.microsoft.com/en-us/rest/api/billing/2019-10-01-preview/role-assignments/put?tabs=HTTP) e clique em REST API Try It;
3. Ao clicar em Try It, se você tiver se autenticado anteriormente, será exibida a seguinte tela para confirmação. Caso esteja correto, continue.
3.1. Para configurar o passo 4, será necessário adquirir as informações que serão apresentadas no próximo passo e nos slides a seguir.
* BillingAccountName: Este parâmetro é o ID da conta de cobrança . Você pode encontrá-lo no portal do Azure na página de visão geral do Cost Management + Billing .
3.2. BillingRoleAssignmentName: Este parâmetro é um GUID exclusivo que você precisa fornecer. Você pode gerar um GUID usando o comando [New-Guid](https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/new-guid) PowerShell. Você também pode usar o site [Online GUID / UUID Generator](https://guidgenerator.com/) para gerar um GUID exclusivo.\
Copie o código, conforme ilustrado na imagem abaixo.
3.3. PrincipalId: Aqui onde encontramos o PincipalId, neste caso está identificado como Object ID , conforme ilustrado na imagem abaixo.
3.4. Tenant ID: Aqui conseguimos obter a informação do Tenant ID, Conforme ilustrado na imagem abaixo:
4. Ao se autenticar, você será direcionado à seguinte tela, onde serão solicitadas as informações do Service Principal que terá acesso de leitura à API de Billing.
* Na imagem ao lado, os campos destacados em vermelho e numerados correspondem aos passos anteriores, indicando onde encontrar o ID de cada campo.
5. Insira as informações abaixo nos campos correspondentes:
**Parameters:**
* **billingAccountName:** O ID de sua conta de cobrança, pode ser obtido no portal Azure no Cost Management + Billing > Properties > Billing Account ID
* **billingRoleAssignmentName:** UUID único que pode ser gerado programaticamente ou através de um site como por exemplo.
* **api-version:** Mantenha a versão preenchida automaticamente - No momento de escrita desse documento é a versão 2019-10-01-preview
6. Copie as seguintes informações e anote:
* O principal ID, que será o **Object ID** da Enterprise Application.
* O Tenant ID, que pode ser coletado na mesma tela de criação do Service Principal.
* Role Definition Id - Sempre será o seguinte: **/providers/Microsoft.Billing/billingAccounts/****billingAccountName****/billingRoleDefinitions/24f8edb6-1668-4659-b5e2-40bb5f3a7d7e**
7. Insira as informações nos campos correspondentes, conforme abaixo:
* **Body**: substitua os valores entre "aspas duplas" pelos dados coletados anteriormente.
* **Observação**: Os campos destacados em vermelho precisam ser substituídos pelos valores indicados. A numeração refere-se ao passo em que as informações foram obtidas, como ilustrado na imagem abaixo.
8. Remova as chaves e copie o bloco no espaço de Body na página:
9. Com todos os campos preenchidos, clique em Run > o retorno deve ser uma resposta HTTP 200 informando que a chamada ocorreu com sucesso.
10. Pronto, a configuração está concluída. Abaixo um resumo das informações que deverá enviar para a Pier Cloud.
* Azure Tenant ID ([Link](https://learn.microsoft.com/en-us/azure/active-directory/fundamentals/how-to-find-tenant))
* Billing Account ID - (Pode ser obtido no portal Azure no Cost Management + Billing > Properties > Billing Account ID)
* Service Principal (Application Id, Secret) - Criado no passo anterior
### Acesso aos Compromissos de Reservas e Savings Plans
#### Permissões de Compromissos
Utilizaremos o mesmo Service Principal criado anteriormente. O adicionaremos em uma role com permissão Reader em cada Reservation/Savings Plans Order ID. Com isso teremos a permissão para a leitura dos dados de utilização de Reservas ou Savings Plans.
* Esse processo precisa ser realizado em cada uma das Reservas ou Savings Plans.
### Configurações dos Produtos:
* CCA - Cloud Compliance Analyzer
* Autofix
### [Verifique suas permissões no Azure AD](https://learn.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal#check-azure-ad-permissions)
* No Portal Azure, selecione o Microsoft Entra ID (Azure Active Directory também vai encontrar);
* Encontre sua função em Overview>My feed. Se sua função for de User, você deve se assegurar que outros perfis além de Administrador possa registrar aplicações;
* No painel lateral esquerdo, selecione Users e depois User settings;
* Verifique as configurações do App registrations setting. Esse valor só pode ser estabelecido pelo administrador. Se configurado como Yes, qualquer usuário no tenant Azure AD pode registrar um app.
**Atenção:** Se as configurações estiverem como NO, somente alguém no papel de administrador poderá fazer esta configuração.
1\. Entre na sua conta pelo [Portal](https://azure.microsoft.com/pt-br/get-started/azure-portal) e acesse o menu Microsoft Entra ID. Esse Service Principal poderá ser utilizado para o Lighthouse, CCA, Reservas e Savings Plans.
2. Na seção Microsoft Entra ID selecione a opção App Registrations no menu lateral.
3. Clique no botão + Add, depois selecione a opção App Registration.
4. Informe o nome desejado para a Aplicação, na seção Supported account types escolha a opção Accounts in any organizational directory (Multitenant), finalize clicando em Register.
5. Após a criação da aplicação, gere uma secret.
6. Clique no botão + New client secret, no form ao lado clique no botão Add.
7. Copie o valor da secret gerada, a data de expiração e salve em um bloco de notas.
8. Clique em Overview e copie os valores Application (client) ID, Directory (tenant) ID e salve junto às informações anteriores.
9. Agora que temos o Service principal criado, para finalizar o processo, será necessário criar uma Custom role, no Tenant Root. Na barra de busca, procure por Management Group e depois clique no Tenant Root.
10. Agora, clique em Access control (IAM) e na sequência em + Add, Add custom role.
11. Agora, clique em JSON
12. Aqui clique em Edit.
13. Nesse arquivo JSON, adicione o ID TENANT ROOT GROUP, da sua conta, copie o código e cole, no passo seguinte.
14. Aqui cole o código, **salve** a configuração em seguida clique em **Review + create**, conforme imagem abaixo:
15. Para finalizar clique em Create.
16. Agora, clique em **Access control (IAM)** e na sequência em **+ Add** e **Add role assignment**.
17. Nesse passo na caixa de pesquisa, procure pelo nome da role que foi criada no passo anterior, em seguida selecione a role criada, depois clique em Next.
18. Clique na opção **Select members**, ao abrir a caixa de pesquisa do lado direito, pesquise pelo service principal criado, em seguida clique em **Select** e **Next**.
19. Para finalizar clique em **Review + assign**.
20. Abaixo estão as informações que deverão ser enviadas para a Pier Cloud:
* ClientID(Application ID);
* Secret - O value da Secret e o Secret ID;
* Expires - Data de expiração da secret;
* TenantID.
