Cloud Asset Inventory は、時系列データベースに基づいてインベントリ サービスを提供します。このデータベースには、Google Cloud のアセット メタデータの 5 週間分の履歴が保管されています。Cloud Asset Inventory では次のことができます。
- カスタムクエリ言語を使用してアセット メタデータを検索する
- 特定のタイムスタンプを持つすべてのアセット メタデータをエクスポートしたり、期間内のイベントの変更履歴をエクスポートしたりする
- リアルタイム通知に登録してアセットの変更をモニタリングする
- IAM ポリシーを分析して、誰が何にアクセスできるかを調べる
機能
アセットの検索
Cloud Asset Inventory 検索サービスを使用すると、カスタムクエリ言語を使用して、プロジェクト、フォルダ、組織内のアセット メタデータを検索できます。
詳細については、リソース検索ガイドとIAM ポリシー検索ガイドをご覧ください。
アセット履歴とメタデータをエクスポートする
Cloud Asset Inventory エクスポート サービスを使用すると、任意のタイムスタンプにおけるすべてのアセット メタデータを Cloud Storage ファイルまたは BigQuery テーブルにエクスポートできます。任意の期間に、複数のアセットのイベント変更履歴をエクスポートすることもできます。エクスポートしたイベント変更履歴には、指定したアセットの一定期間における作成イベント、削除イベント、更新イベントがすべて表示されます。
詳細については、BigQuery へのアセットのエクスポート、Cloud Storage へのアセットのエクスポートとアセット履歴の表示をご覧ください。
アセットの変更のモニタリング
Cloud Asset Inventory を使用して、リアルタイムで通知されているリソースやポリシーの変更をモニタリングできます。アセット フィードを作成して受信登録すると、目的のアセット名またはアセットタイプの変更をに関する最新情報を即座に受け取ることができます。
詳細については、アセットの変更のモニタリングをご覧ください。
IAM ポリシーを分析する
Cloud Asset Inventory 分析サービスを使用すると、フォルダまたは組織内の IAM ポリシーを分析できます。
詳細については、IAM ポリシーの分析、Cloud Storage への結果の書き込み、BigQuery への結果の書き込みをご覧ください。
主なコンセプト
アセット
アセットとは、Google Cloud のリソースまたはポリシーのことです。Cloud Asset Inventory は、次の 2 つの主なアセット コンテンツ タイプをサポートしています。
- リソース: Google Cloud リソースのメタデータ。
次に例を示します。
- Compute Engine 仮想マシン(VM)
- Cloud Storage バケット
- App Engineのインスタンス
- ポリシー: Google Cloud リソースに対して設定された次のいずれかのポリシーのメタデータ。次に例を示します。
- IAM ポリシー
- Organization Policy ポリシー
- Access Context Manager ポリシー
- ランタイム情報: Google Cloud リソースの次のランタイム情報いずれかのメタデータ。次に例を示します。
- OSConfig インスタンスのインベントリ
詳細については、サポートされているアセットタイプをご覧ください。
アセット スナップショット
アセット スナップショットとは、特定のタイムスタンプにおいて Resource Manager のプロジェクト、フォルダ、または組織に含まれる利用可能なアセットのセットです。
アセット履歴
1 つのアセットに関して、アセット履歴には、タイムスタンプ T1 と T2 間のすべてのメタデータ作成イベント、削除イベント、および更新イベントが含まれます。詳細は、アセット履歴の表示をご覧ください。
次のステップ
- Cloud Asset Inventory のクイックスタートを試して、アセットのエクスポートを開始する。