Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Erste Schritte mit Cloud Asset Inventory

In dieser Kurzanleitung erfahren Sie, wie Sie Asset-Metadaten zu einem bestimmten Zeitpunkt mit Cloud Asset Inventory und den gcloud asset-Befehlen des Cloud SDK exportieren können.

Hinweis

Bevor Sie mit Cloud Asset Inventory arbeiten können, müssen Sie die Cloud Asset Inventory API und das Cloud SDK aktivieren und Berechtigungen zuweisen. Mit dem gcloud-Befehlszeilentool des Cloud SDK können Sie mit Cloud Asset Inventory und anderen Google Cloud-Diensten interagieren. Weitere Informationen zum gcloud-Tool

Cloud Asset Inventory API und Cloud SDK aktivieren

  1. Melden Sie sich bei Ihrem Google-Konto an.

    Wenn Sie noch kein Konto haben, melden Sie sich hier für ein neues Konto an.

  2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  3. Aktivieren Sie die erforderliche API.

    Aktivieren Sie die API

  4. Installieren und initialisieren Sie das Cloud SDK.

Berechtigungen konfigurieren

Sie müssen die Berechtigungen konfigurieren, um die Cloud Asset Inventory API aufzurufen.

Assets suchen

  1. Führen Sie den folgenden gcloud asset search-all-resources-Befehl aus, um Ressourcenmetadaten zu suchen.

     gcloud asset search-all-resources \
        --scope SCOPE \
        --query QUERY \
        --asset-types ASSET_TYPES,… \
        --order-by ORDER_BY
    

    Dabei sind folgenden Flags optional:

    • (Optional) SCOPE: Ein Bereich kann ein Projekt, ein Ordner oder eine Organisation sein. Die Suche ist auf die Google Cloud-Ressourcen innerhalb dieses Bereichs beschränkt. Dem Aufrufer muss die Berechtigung cloudasset.assets.searchAllResources für den gewünschten Bereich gewährt werden. Wenn keine Angabe erfolgt, wird das konfigurierte Projektattribut verwendet. Mit dem folgenden Befehl ermitteln Sie das konfigurierte Projekt: gcloud config get-value project. Führen Sie den folgenden Befehl aus, um die Einstellung zu ändern: gcloud config set project PROJECT_ID.

      Zulässige Werte:

      • projects/PROJECT_ID (z. B. "projects/foo-bar")
      • projects/PROJECT_NUMBER (z. B. "projects/12345678")
      • folders/FOLDER_NUMBER (z. B. "folders/1234567")
      • organizations/ORGANIZATION_NUMBER (z. B. "organizations/123456")
    • (Optional) QUERY: Die Abfrageanweisung. Weitere Informationen finden Sie unter Abfrage erstellen. Wenn nicht angegeben oder leer ist, werden alle Ressourcen innerhalb der angegebenen scope durchsucht.

      Beispiele:

      • name:Important, um Cloud-Ressourcen zu suchen, deren Name "Important" als Wort enthält.
      • name=Important, um die Google Cloud-Ressource zu suchen, deren Name exakt "Important" ist.
      • displayName:Impor*, um Cloud-Ressourcen zu suchen, deren Anzeigename "Impor" als Präfix enthält.
      • location:us-west*, um Google Cloud-Ressourcen zu finden, deren Standort sowohl "us" als auch "west" als Präfixe enthält.
      • labels:prod, um Cloud-Ressourcen zu suchen, deren Labels "prod" als Schlüssel oder Wert enthalten.
      • labels.env:prod, um Cloud-Ressourcen mit einem Label "env" und dem Wert "prod" zu suchen.
      • labels.env:*, um Cloud-Ressourcen mit einem Label "env" zu suchen.
      • kmsKey:key, um Google Cloud-Ressourcen zu finden, die mit einem vom Kunden verwalteten Verschlüsselungsschlüssel verschlüsselt sind, dessen Name "key" als Wort enthält.
      • state:ACTIVE, um Google Cloud-Ressourcen zu finden, deren Status "ACTIVE" als Wort enthält.
      • createTime<1609459200, um Google Cloud-Ressourcen zu finden, die vor "2021-01-01 00:00:00 UTC" erstellt wurden. 1609459200 ist der Epochenzeitstempel von "2021-01-01 00:00:00 UTC" in Sekunden.
      • updateTime>1609459200, um Google Cloud-Ressourcen zu finden, die nach "2021-01-01 00:00:00 UTC" aktualisiert wurden. 1609459200 ist der Epochenzeitstempel von "2021-01-01 00:00:00 UTC" in Sekunden.
      • Important, um Google Cloud-Ressourcen zu suchen, die in einem der Suchfelder das Wort "Important" enthalten.
      • Impor*, um Google Cloud-Ressourcen zu suchen, die in einem der Suchfelder "Import" als Präfix enthalten.
      • Important location:(us-west1 OR global), um Google Cloud-Ressourcen zu suchen, die in einem der Suchfelder das Wort "Important" enthalten und sich außerdem in der Region "us-west1" oder "global" befinden.
    • (Optional) ASSET_TYPES: Eine Liste der zu suchenden Asset-Typen. Wenn nichts angegeben oder leer ist, wird nach allen suchbaren Asset-Typen gesucht. Beispiel: "cloudresourcemanager.googleapis.com/Project,compute.googleapis.com/Instance", um Projekt- und VM-Instanzressourcen zu suchen. Reguläre Ausdrücke werden ebenfalls unterstützt. Beispiel: "compute.googleapis.com.*"-Snapshots erstellt Ressourcen, deren Asset-Typ mit "compute.googleapis.com" beginnt. Unter RE2 finden Sie alle unterstützten Syntaxen für reguläre Ausdrücke. Wenn der reguläre Ausdruck mit keinem unterstützten Asset-Typ übereinstimmt, wird der Fehler INVALID_ARGUMENT zurückgegeben.

    • (Optional) ORDER_BY: Eine durch Kommas getrennte Liste von Feldern, die die Sortierreihenfolge der Ergebnisse angibt. Die Standardreihenfolge ist aufsteigend. Fügen Sie nach dem Feldnamen " DESC" ein, um die absteigende Reihenfolge anzugeben. Redundante Leerzeichen werden ignoriert. Beispiel:"location DESC, name". Nur Stringfelder in der Antwort können sortiert werden, einschließlich name, displayName, description und location.

    Weitere Informationen zur Suche in Ressourcen finden Sie unter Ressourcen suchen.

  2. Führen Sie den folgenden gcloud asset search-all-iam-policies-Befehl aus, um nach IAM-Richtlinien zu suchen.

     gcloud asset search-all-iam-policies \
        --scope SCOPE \
        --query QUERY \
    

    Wobei:

    • (Optional) SCOPE: Ein Bereich kann ein Projekt, ein Ordner oder eine Organisation sein. Die Suche ist auf die IAM-Richtlinien (Identity and Access Management) in diesem Bereich beschränkt. Dem Aufrufer muss die Berechtigung cloudasset.assets.searchAllIamPolicies für den gewünschten Bereich gewährt werden. Wenn keine Angabe erfolgt, wird das konfigurierte Projektattribut verwendet. Mit dem folgenden Befehl ermitteln Sie das konfigurierte Projekt: gcloud config get-value project. Führen Sie den folgenden Befehl aus, um die Einstellung zu ändern: gcloud config set project PROJECT_ID.

      Zulässige Werte:

      • projects/PROJECT_ID (z. B. "projects/foo-bar")
      • projects/PROJECT_NUMBER (z. B. "projects/12345678")
      • folders/FOLDER_NUMBER (z. B. "folders/1234567")
      • organizations/ORGANIZATION_NUMBER (z. B. "organizations/123456")
    • (Optional) QUERY: Die Abfrageanweisung. Weitere Informationen finden Sie unter Abfrage erstellen. Wenn nicht angegeben oder leer, wird nach allen IAM-Richtlinien innerhalb des angegebenen scope gesucht. Der Abfragestring wird mit jeder IAM-Richtlinienbindung verglichen, einschließlich der zugehörigen Mitglieder, Rollen und IAM-Bedingungen. Die zurückgegebenen IAM-Richtlinien enthalten nur die Bindungen, die Ihrer Abfrage entsprechen. Weitere Informationen zur IAM-Richtlinienstruktur finden Sie unter IAM-Richtliniendokument.

      Beispiele:

      • policy:amy@gmail.com, um IAM-Richtlinienbindungen zu suchen, die den Nutzer "amy@gmail.com" angeben.
      • policy:roles/compute.admin, um IAM-Richtlinienbindungen zu suchen, die die Rolle "Compute-Administrator" angeben.
      • policy:comp*, um IAM-Richtlinienbindungen zu finden, die "comp" als Präfix eines beliebigen Wortes in der Bindung enthalten.
      • policy.role.permissions:storage.buckets.update, um IAM-Richtlinienbindungen zu suchen, die eine Rolle mit der Berechtigung "storage.buckets.update" angeben. Wenn Aufrufer keinen iam.roles.get-Zugriff auf die enthaltenen Berechtigungen einer Rolle haben, werden Richtlinienbindungen, die diese Rolle angeben, aus den Suchergebnissen entfernt.
      • policy.role.permissions:upd* zum Ermitteln von IAM-Richtlinienbindungen, die eine Rolle mit dem Präfix "Upd" als Präfix eines beliebigen Wortes in der Rollenberechtigung angeben. Wenn Aufrufer keinen iam.roles.get-Zugriff auf die enthaltenen Berechtigungen einer Rolle haben, werden Richtlinienbindungen, die diese Rolle angeben, aus den Suchergebnissen entfernt.
      • resource:organizations/123456, um IAM-Richtlinienbindungen zu suchen, die für "organizations/123456" festgelegt sind.
      • resource=//cloudresourcemanager.googleapis.com/projects/myproject, um IAM-Richtlinienbindungen zu suchen, die für das Projekt "myproject" festgelegt werden.
      • Important, um IAM-Richtlinienbindungen zu suchen, die in einem der Suchfelder das Wort "Important" enthalten (mit Ausnahme der enthaltenen Berechtigungen).
      • resource:(instance1 OR instance2) policy:amy, um IAM-Richtlinienbindungen zu suchen, die für die Ressource "instance1" oder "instance2" festgelegt sind und außerdem den Nutzer "amy" angeben.

    Weitere Informationen zur Suche nach IAM-Richtlinien finden Sie unter IAM-Richtlinien suchen.

Asset-Snapshot nach Cloud Storage exportieren

Führen Sie die folgenden Schritte aus, um alle Asset-Metadaten mit einem bestimmten Zeitstempel in eine Cloud Storage-Datei zu exportieren.

  1. Erstellen Sie einen neuen Bucket, wenn in Ihrem Projekt kein Cloud Storage-Bucket zum Speichern exportierter Daten verfügbar ist.

  2. Führen Sie den folgenden Befehl aus, um Assetmetadaten in Ihr Projekt zu exportieren. Mit diesem Befehl wird der exportierte Snapshot in einem Cloud Storage-Bucket unter gs://YOUR_BUCKET/NEW_FILE gespeichert.

    gcloud asset export \
       --content-type resource \
       --project PROJECT_ID \
       --snapshot-time SNAPSHOT_TIME \
       --output-path "gs://YOUR_BUCKET/NEW_FILE"
    

    Hierbei gilt:

    • PROJECT_ID: Die ID des Projekts, dessen Metadaten exportiert werden. Dieses Projekt kann entweder das Projekt sein, für das die Cloud Asset Inventory API aktiviert ist und in dem Sie den Export ausführen, oder ein anderes Projekt.
    • (Optional) SNAPSHOT_TIME: Der Wert muss die aktuelle Zeit oder ein vergangenes Datum sein, an dem Sie einen Snapshot Ihrer Assets erstellen möchten. Standardmäßig wird ein Snapshot zum aktuellen Zeitpunkt erstellt. Weitere Informationen zu Zeitformaten finden Sie unter gcloud topic datetimes.
  3. Um die Assets einer Organisation oder eines Ordners zu exportieren, können Sie anstelle des Flags --project eines der folgenden Flags verwenden:

    • --organization=ORGANIZATION_ID
    • --folder=FOLDER_ID
  4. (Optional) Führen Sie den folgenden Befehl aus, um den Status des Exports zu prüfen. Er wird im gcloud-Tool angezeigt, nachdem der Exportbefehl ausgeführt wurde.

    gcloud asset operations describe projects/PROJECT_ID/operations/ExportAssets/CONTENT_TYPE/OPERATION_NUMBER
    

Asset-Snapshot ansehen

Führen Sie die folgenden Schritte aus, um einen Asset-Snapshot nach dem Export in Cloud Storage anzusehen.

  1. Rufen Sie die Seite "Cloud Storage-Browser" auf.
    Seite "Cloud Storage-Browser" öffnen

  2. Öffnen Sie die Datei, in die Sie Ihre Metadaten exportiert haben.

In der Exportdatei sind die Assets und zugehörigen Ressourcennamen aufgelistet.

Nächste Schritte