Cloud-koppelingen

    Haal cloudresources op een schema in uw CMDB, zonder Anzen langlevende credentials te geven

    Anzen ontvangt nooit langlevende cloud-credentials

    Elke provider gebruikt het least-privilege-mechanisme dat erbij past. AWS-koppelingen gebruiken een alleen-lezen IAM-rol in uw account die ons platform vertrouwt; we assumen die via STS bij elke discovery-run. DigitalOcean-koppelingen gebruiken een alleen-lezen Personal Access Token die u aanmaakt, die versleuteld wordt opgeslagen en nooit wordt teruggetoond. Azure (zodra beschikbaar) gebruikt een service principal in uw tenant. U kunt onze toegang op elk moment aan uw kant intrekken - verwijder de AWS-rol, of trek de DigitalOcean-token in - geen support-ticket nodig.

    Wat is een Cloud-koppeling?

    Een cloud-koppeling is een alleen-lezen integratie tussen een Anzen-entiteit en één cloudaccount. Eenmaal geconfigureerd somt Anzen de resources op die in dat account leven - vandaag EC2-instances op AWS, en Droplets op DigitalOcean - en materialiseert ze als Configuratie-items onder de gekozen entiteit. De eerste run is de initiële inventarisatie; elke volgende run is een delta - nieuwe resources worden toegevoegd, bestaande worden ververst, verwijderde blijven staan totdat u ze zelf verwijdert zodat het audit-spoor niet breekt.

    Providers

    Cloud-koppelingen is een plug-in-architectuur - meer providers volgen. Vandaag beschikbaar:

    • Amazon Web Services (AWS) - algemeen beschikbaar. Authenticeert met een IAM-rol die u aanmaakt. Ontdekt EC2-instances bij lancering; RDS, S3, Lambda en VPC's staan op de publieke roadmap.
    • DigitalOcean - algemeen beschikbaar. Authenticeert met een alleen-lezen Personal Access Token die u in de wizard plakt. Ontdekt Droplets (v1); reserved IP's, volumes, Kubernetes-clusters, managed databases en load balancers zijn toekomstig werk.
    • Microsoft Azure - in ontwikkeling. Zal een service principal gebruiken die u in uw Azure-tenant aanmaakt; de wizard heeft de tegel al, maar gemarkeerd als "binnenkort" totdat de provider live gaat.

    Een AWS-koppeling opzetten

    AWS gebruikt een IAM-rol; DigitalOcean gebruikt een alleen-lezen token (besproken in een eigen sectie hieronder). Een AWS-koppeling opzetten kost ongeveer vijf minuten als u toegang heeft tot de AWS-console:

    1. Open de wizard - ga naar Tools → Cloud-koppelingen en klik op Koppeling toevoegen. Kies AWS.
    2. Stel vertrouwen in uw AWS-account in - plak uw 12-cijferige AWS-account-ID, kopieer de CloudFormation-template die de wizard genereert (de per-koppeling external-id staat al ingevuld), en pas hem toe in de AWS-console. De template maakt één alleen-lezen IAM-rol aan met de naam AnzenCustomerDiscoveryRole.
    3. Test de verbinding - klik op Verbinding testen. Anzen draait de volledige two-hop AssumeRole-keten end-to-end en geeft de geassumeerde rol-ARN terug, zodat u kunt verifiëren dat de juiste rol wordt geassumeerd.
    4. Kies een entiteit en schema - selecteer onder welke entiteit ontdekte CI's vallen, geef de koppeling een naam en kies Dagelijks (aanbevolen) of Alleen handmatig.
    5. Controleren en aanmaken - de koppeling wordt opgeslagen en draait direct als u op Nu uitvoeren klikt op de detailpagina. Dagelijks ingeplande koppelingen draaien automatisch elke nacht.

    AWS Trust-model

    De AWS-provider gebruikt bewust een gelaagde authenticatieketen, zodat geen enkele credential-leak klantgegevens compromitteert:

    • Caller-IAM-gebruiker - leeft in het Anzen-platform AWS-account en mag alleen onze interne discovery-rol assumen. Wordt gebruikt om de keten te starten. (Deze identiteit migreert naar IAM Roles Anywhere met kortlevende X.509-certificaten - geen langlevende statische credentials meer.)
    • Anzen-discovery-rol - de tussenliggende hop. Mag alleen klantrollen assumen die het patroon (arn:aws:iam::*:role/AnzenCustomerDiscoveryRole) volgen - geen andere rechten. Een lek van de sessie-credentials van deze hop kan niet pivoteren naar andere Anzen-interne rollen of platform-account-resources.
    • Klantrol - leeft in uw account, aangemaakt door de CloudFormation-template. Vertrouwt onze discovery-rol alleen wanneer een sts:ExternalId-conditie overeenkomt met de per-koppeling external-id die we voor u hebben gegenereerd. De rechten-baseline is de AWS-managed SecurityAudit + ViewOnlyAccess-policies, die we van plan zijn aan te scherpen tot een custom least-privilege-policy zodra ons discovery-oppervlak stabiliseert.

    De external-id is het veiligheidsmechanisme dat het vertrouwen veilig houdt zelfs als ons platform-account-ID ooit zou lekken: AWS weigert elke AssumeRole-aanroep naar uw rol die niet de juiste external-id meedraagt die u in de CloudFormation-parameter heeft geplakt.

    Een DigitalOcean-koppeling opzetten

    DigitalOcean is bewust eenvoudiger dan AWS - er is geen rol, trust-policy of CloudFormation-stap. U genereert een alleen-lezen token en plakt die in de wizard:

    1. Maak een alleen-lezen Personal Access Token aan - ga in het DigitalOcean-controlepaneel naar API → Tokens en genereer een nieuwe Personal Access Token (PAT). Geef die alleen-lezen-scope - Anzen leest alleen uit uw account, dus schrijfrechten zijn nooit nodig.
    2. Open de wizard - ga in Anzen naar Tools → Cloud-koppelingen, klik op Koppeling toevoegen en kies DigitalOcean.
    3. Plak de token - plak de PAT in het tokenveld. Anzen versleutelt die bij opslag en toont die nooit terug; de koppeling geeft alleen aan dat er een token is opgeslagen. Om te roteren plakt u een nieuwe token en wordt de oude vervangen.
    4. Filter optioneel op regio - laat het regiofilter leeg om Droplets in alle regio's te ontdekken, of stel het in om discovery tot één regio te beperken (bijv. ams3).
    5. Kies een entiteit en schema - selecteer onder welke entiteit ontdekte Droplets vallen, geef de koppeling een naam en kies Dagelijks (aanbevolen) of Alleen handmatig, net als bij AWS.

    Roteren is enkel opnieuw plakken: genereer een verse alleen-lezen PAT in DigitalOcean, plak die in de koppeling en trek de oude in het DigitalOcean-controlepaneel in. Er is geen opgeslagen token om terug te lezen, dus een gelekte Anzen-export kan uw DigitalOcean-credentials nooit blootleggen.

    Opmerking over dataresidentie: DigitalOcean heeft net als AWS en Microsoft Azure zijn hoofdkantoor in de VS. Deze koppeling inventariseert alleen uw eigen Droplets in uw EU-gehoste Anzen-tenant - Anzen host uw workloads niet op DigitalOcean. Als u al Droplets draait, brengt dit ze in dezelfde CMDB als de rest van uw landschap, en de residentie-keuze voor die workloads blijft de uwe.

    Wat wordt ontdekt

    Elke ontdekte cloudresource wordt een Configuratie-item met de cloud-native ID van de resource (bijv. een EC2-ARN) opgeslagen als external_id en de koppeling als bron geregistreerd. CI's die zo zijn aangemaakt tonen een kleine "Ontdekt door"-attributie op de detailpagina. U kunt de entiteit-toewijzing aanpassen, beschrijvingen toevoegen of de CI koppelen aan applicaties en bedrijfsprocessen; die aanpassingen blijven behouden bij volgende discovery-runs. Velden die de cloud-provider invult - naam, hostname, IP-adres, OS-info - worden bij elke run ververst zodat ze in sync blijven met de werkelijkheid.

    Inplannen en handmatige runs

    Koppelingen draaien standaard met een dagelijkse cadans, als onderdeel van de nachtelijke takenrunner van Anzen. U kunt ook op elk moment op Nu uitvoeren klikken op de detailpagina van een koppeling om een out-of-band run te starten; het resultaat wordt geregistreerd in de run-historie met een expliciete "manual"-trigger. Zet het schema op Alleen handmatig als u liever zelf de runs aanstuurt - handig voor kostengevoelige accounts of als u alleen een snapshot wilt. Elke run registreert tellingen (ontdekt / aangemaakt / bijgewerkt / ongewijzigd) en eventuele per-resource-fouten, dus partiële mislukkingen zijn zichtbaar zonder in de logs te hoeven duiken.

    Machtigingen

    Cloud-koppelingen gebruiken het standaard Anzen-RBAC-systeem. De machtiging CloudConnector:read laat een gebruiker de lijst, de detailpagina en de run-historie bekijken. De machtiging CloudConnector:manage is vereist om een koppeling toe te voegen, te bewerken, te verwijderen of uit te voeren. Machtigingen zijn entity-scoped: een rol toegekend op een specifieke entiteit beheert alleen koppelingen voor die entiteit (of afstammelingen). Een koppeling kan niet tussen entiteiten verplaatst worden zonder dat de gebruiker manage-rechten heeft op zowel de bron- als doel-entiteit.

    Disclaimer

    Cloud-koppelingen lezen alleen uit uw cloudaccounts - op AWS via de alleen-lezen managed-policies die door de CloudFormation-template worden gekoppeld, en op DigitalOcean via de alleen-lezen Personal Access Token die u aanlevert. Anzen / SCRTY B.V. aanvaardt geen aansprakelijkheid voor cloud-API-kosten die door discovery-runs worden gemaakt (doorgaans verwaarloosbaar), voor verkeerde configuratie van het IAM-vertrouwen aan klantzijde, of voor de residentie-implicaties van het inventariseren van resources van een in de VS gehoste provider in uw tenant. Bekijk de CloudFormation-template altijd voordat u hem toepast, en geef uw DigitalOcean-token alleen-lezen-scope.