Neste tópico, mostramos como configurar o Inventário de recursos do Cloud e o inventário do SO do VM Manager para que seja possível visualizar as informações de ambiente de execução das suas VMs.
Antes de começar
Antes de começar, conclua as etapas a seguir.
Ative a API Cloud Asset Inventory no projeto em que você executará os comandos da API.
Configure as permissões necessárias para chamar a API Cloud Asset Inventory usando a CLI gcloud ou a API.
Conclua as etapas a seguir para configurar seu ambiente.
CLI da gcloud
Para configurar o ambiente e usar a CLI gcloud para chamar a API Cloud Asset Inventory, instale a Google Cloud CLI no cliente local.
REST
Para configurar o ambiente para chamar a API Cloud Asset Inventory com o comando
curl
, conclua as etapas a seguir.Confirme se você tem acesso ao comando
curl
.Conceda à sua conta um dos seguintes papéis no seu projeto, pasta ou organização.
Papel Leitor de recursos do Cloud (
roles/cloudasset.viewer
)Papel básico do proprietário (
roles/owner
)
Como ativar o inventário do SO
Para ativar o inventário do SO, que faz parte do pacote do VM Manager, conclua as etapas relevantes em Configurar o VM Manager.
Como definir permissões
Verifique se a sua conta tem a permissão
cloudasset.assets.exportOSInventories
no recurso raiz que contém os recursos que você quer exportar. É
possível conceder essa permissão individualmente ou a um dos papéis a
seguir no recurso raiz.
Papel Leitor de recursos do Cloud (
roles/cloudasset.viewer
)Papel Proprietário do recurso do Cloud (
roles/cloudasset.owner
)
Saiba mais sobre como configurar permissões e papéis de IAM do Cloud Asset Inventory.
Como exportar dados do VM Manager para o BigQuery
Para exportar o snapshot do inventário do SO em um determinado carimbo de data/hora, use o comando a seguir.
gcloud
Projetos
gcloud asset export \
--project=PROJECT_ID \
--billing-project=BILLING_PROJECT_ID \
--content-type=os-inventory \
--snapshot-time="SNAPSHOT_TIME" \
--bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
--output-bigquery-force
Forneça os valores a seguir:
PROJECT_ID
: o ID do projeto com os metadados que estão sendo exportados.BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.SNAPSHOT_TIME
: opcional. O horário em que você quer tirar um snapshot dos seus recursos. O valor precisa ser o horário atual ou um horário no passado. Por padrão, um snapshot é capturado no horário atual. Para informações sobre formatos de hora, consulte gcloud topic datetimes.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela para a qual você está exportando seus metadados.
Outras sinalizações:
--output-bigquery-force
: substitui a tabela de destino, se ela existir.
Pastas
gcloud asset export \
--folder=FOLDER_ID \
--billing-project=BILLING_PROJECT_ID \
--content-type=os-inventory \
--snapshot-time="SNAPSHOT_TIME" \
--bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
--output-bigquery-force
Forneça os valores a seguir:
FOLDER_ID
: o ID da pasta com os metadados que estão sendo exportados.Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID da pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para ver mais informações sobre as pastas encontradas.Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.SNAPSHOT_TIME
: opcional. O horário em que você quer tirar um snapshot dos seus recursos. O valor precisa ser o horário atual ou um horário no passado. Por padrão, um snapshot é capturado no horário atual. Para informações sobre formatos de hora, consulte gcloud topic datetimes.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela para a qual você está exportando seus metadados.
Outras sinalizações:
--output-bigquery-force
: substitui a tabela de destino, se ela existir.
Organizações
gcloud asset export \
--organization=ORGANIZATION_ID \
--billing-project=BILLING_PROJECT_ID \
--content-type=os-inventory \
--snapshot-time="SNAPSHOT_TIME" \
--bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
--output-bigquery-force
Forneça os valores a seguir:
ORGANIZATION_ID
: o ID da organização com os metadados que estão sendo exportados.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID da organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID é exibido ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.SNAPSHOT_TIME
: opcional. O horário em que você quer tirar um snapshot dos seus recursos. O valor precisa ser o horário atual ou um horário no passado. Por padrão, um snapshot é capturado no horário atual. Para informações sobre formatos de hora, consulte gcloud topic datetimes.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela para a qual você está exportando seus metadados.
Outras sinalizações:
--output-bigquery-force
: substitui a tabela de destino, se ela existir.
REST
curl -X POST \
-H "X-Goog-User-Project: BILLING_PROJECT_ID" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"contentType": "OS_INVENTORY",
"readTime": "SNAPSHOT_TIME",
"outputConfig": {
"bigqueryDestination": {
"dataset": "projects/PROJECT_ID/datasets/DATASET_ID",
"table": "TABLE_NAME",
"force": true
}
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE:exportAssets
Forneça os valores a seguir:
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissões para gerenciar conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.SNAPSHOT_TIME
: opcional. O horário em que você quer criar um snapshot dos seus recursos no formato RFC 3339. O valor precisa ser a hora atual ou um horário não superior a 35 dias no passado. Quando não é fornecido, um snapshot é capturado no momento atual.PROJECT_ID
: o ID do projeto em que a tabela do BigQuery está localizada.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela para que você está exportando os metadados.SCOPE
: um escopo pode ser um projeto, uma pasta ou uma organização.Os valores permitidos são:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Como encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Escolha a organização na caixa Selecionar de e pesquise o nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado no card Informações do projeto.
CLI da gcloud
É possível recuperar um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID da pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para ver mais informações sobre as pastas encontradas.Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID da organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID é exibido ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para exportar relatórios de vulnerabilidade do VM Manager de um projeto para o BigQuery, use o comando a seguir.
gcloud
Projetos
gcloud asset export \
--project=PROJECT_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
--output-bigquery-force
Forneça os valores a seguir:
PROJECT_ID
: o ID do projeto com os metadados que estão sendo exportados.BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela para a qual você está exportando seus metadados.
Outras sinalizações:
--output-bigquery-force
: substitui a tabela de destino, se ela existir.
Pastas
gcloud asset export \
--folder=FOLDER_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
--output-bigquery-force
Forneça os valores a seguir:
FOLDER_ID
: o ID da pasta com os metadados que estão sendo exportados.Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID da pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para ver mais informações sobre as pastas encontradas.Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela para a qual você está exportando seus metadados.
Outras sinalizações:
--output-bigquery-force
: substitui a tabela de destino, se ela existir.
Organizações
gcloud asset export \
--organization=ORGANIZATION_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
--output-bigquery-force
Forneça os valores a seguir:
ORGANIZATION_ID
: o ID da organização com os metadados que estão sendo exportados.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID da organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID é exibido ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela para a qual você está exportando seus metadados.
Outras sinalizações:
--output-bigquery-force
: substitui a tabela de destino, se ela existir.
REST
curl -X POST \
-H "X-Goog-User-Project: BILLING_PROJECT_ID" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": ["osconfig.googleapis.com/VulnerabilityReport"],
"contentType": "RESOURCE",
"outputConfig": {
"bigqueryDestination": {
"dataset": "projects/PROJECT_ID/datasets/DATASET_ID",
"table": "TABLE_NAME",
"force": true
}
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE:exportAssets
Forneça os valores a seguir:
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissões para gerenciar conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.PROJECT_ID
: o ID do projeto em que a tabela do BigQuery está localizada.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela para que você está exportando os metadados.SCOPE
: um escopo pode ser um projeto, uma pasta ou uma organização.Os valores permitidos são:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Como encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Escolha a organização na caixa Selecionar de e pesquise o nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado no card Informações do projeto.
CLI da gcloud
É possível recuperar um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID da pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para ver mais informações sobre as pastas encontradas.Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID da organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID é exibido ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Outros parâmetros:
"force": true
: substitui a tabela de destino, se ela existir.
Tabelas atuais
Não é possível anexar a saída da exportação a uma tabela. A
tabela de destino precisa estar vazia ou você precisa substituí-la. Para substituí-la, use
a sinalização --output-bigquery-force
com a CLI gcloud ou use
force
com a API REST.
Se a tabela de saída estiver em uso durante a tentativa de gravação, uma resposta 400
será
retornada com a mensagem Request contains an invalid argument
.
Como exportar dados do VM Manager para o Cloud Storage
Para exportar os dados de inventário do VM Manager para todas as instâncias de VM em um projeto, use o seguinte comando da CLI gcloud ou a API Cloud Asset Inventory.
gcloud
Projetos
gcloud asset export \
--project=PROJECT_ID \
--billing-project=BILLING_PROJECT_ID \
--content-type=os-inventory \
--output-path="gs://BUCKET_NAME/FILENAME"
Forneça os valores a seguir:
PROJECT_ID
: o ID do projeto com os metadados que estão sendo exportados.BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.BUCKET_NAME
: o nome do bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo no bucket do Cloud Storage para gravar.
Pastas
gcloud asset export \
--folder=FOLDER_ID \
--billing-project=BILLING_PROJECT_ID \
--content-type=os-inventory \
--output-path="gs://BUCKET_NAME/FILENAME"
Forneça os valores a seguir:
FOLDER_ID
: o ID da pasta com os metadados que estão sendo exportados.Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID da pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para ver mais informações sobre as pastas encontradas.Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.BUCKET_NAME
: o nome do bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo no bucket do Cloud Storage para gravar.
Organizações
gcloud asset export \
--organization=ORGANIZATION_ID \
--billing-project=BILLING_PROJECT_ID \
--content-type=os-inventory \
--output-path="gs://BUCKET_NAME/FILENAME"
Forneça os valores a seguir:
ORGANIZATION_ID
: o ID da organização com os metadados que estão sendo exportados.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID da organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID é exibido ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.BUCKET_NAME
: o nome do bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo no bucket do Cloud Storage para gravar.
REST
curl -X POST \
-H "X-Goog-User-Project: BILLING_PROJECT_ID" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"contentType": "OS_INVENTORY",
"outputConfig": {
"gcsDestination": {
"uri": "gs://BUCKET_NAME/FILENAME"
}
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE:exportAssets
Forneça os valores a seguir:
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.BUCKET_NAME
: o nome do bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo no bucket do Cloud Storage para gravar.SCOPE
: um escopo pode ser um projeto, uma pasta ou uma organização.Os valores permitidos são:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Como encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Escolha a organização na caixa Selecionar de e pesquise o nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado no card Informações do projeto.
CLI da gcloud
É possível recuperar um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID da pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para ver mais informações sobre as pastas encontradas.Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID da organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID é exibido ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para exportar os relatórios de vulnerabilidade do VM Manager de um projeto para o Cloud Storage, use o seguinte comando da CLI gcloud ou a API Cloud Asset Inventory.
gcloud
Projetos
gcloud asset export \
--project=PROJECT_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--output-path="gs://BUCKET_NAME/FILENAME"
Forneça os valores a seguir:
PROJECT_ID
: o ID do projeto com os metadados que estão sendo exportados.BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.BUCKET_NAME
: o nome do bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo no bucket do Cloud Storage para gravar.
Pastas
gcloud asset export \
--folder=FOLDER_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--output-path="gs://BUCKET_NAME/FILENAME"
Forneça os valores a seguir:
FOLDER_ID
: o ID da pasta com os metadados que estão sendo exportados.Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID da pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para ver mais informações sobre as pastas encontradas.Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.BUCKET_NAME
: o nome do bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo no bucket do Cloud Storage para gravar.
Organizações
gcloud asset export \
--organization=ORGANIZATION_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--output-path="gs://BUCKET_NAME/FILENAME"
Forneça os valores a seguir:
ORGANIZATION_ID
: o ID da organização com os metadados que estão sendo exportados.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID da organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID é exibido ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.BUCKET_NAME
: o nome do bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo no bucket do Cloud Storage para gravar.
REST
curl -X POST \
-H "X-Goog-User-Project: BILLING_PROJECT_ID" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": ["osconfig.googleapis.com/VulnerabilityReport"],
"contentType": "RESOURCE",
"outputConfig": {
"gcsDestination": {
"uri": "gs://BUCKET_NAME/FILENAME"
}
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE:exportAssets
Forneça os valores a seguir:
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.BUCKET_NAME
: o nome do bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo no bucket do Cloud Storage para gravar.SCOPE
: um escopo pode ser um projeto, uma pasta ou uma organização.Os valores permitidos são:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Como encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Escolha a organização na caixa Selecionar de e pesquise o nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado no card Informações do projeto.
CLI da gcloud
É possível recuperar um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID da pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para ver mais informações sobre as pastas encontradas.Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID da organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID é exibido ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Arquivos existentes
Se o arquivo de saída estiver em uso quando você tentar gravar em um bucket de armazenamento, uma resposta 400
será retornada com a mensagem Request contains an invalid argument
.
Como receber o histórico de dados do VM Manager
Para ver o histórico de todos os recursos de inventário do SO de uma instância de VM especificada em um projeto, pasta ou organização, execute os comandos a seguir.
gcloud
Projetos
gcloud asset get-history \
--project=PROJECT_ID \
--asset-names=//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME \
--content-type=os-inventory \
--start-time="START_TIME" \
--end-time="END_TIME"
Forneça os valores a seguir:
PROJECT_ID
: o ID do projeto em que a instância de VM está localizada.ZONE
: a zona em que a instância de VM está. Por exemplo,us-central1-a
.VM_INSTANCE_NAME
: o nome da instância de VM.START_TIME
: opcional. O início do período. O período máximo é de sete dias. O valor precisa ser o horário atual ou um horário não superior a 35 dias no passado. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.END_TIME
: opcional. O ponto final do período. O período máximo é de sete dias. O valor precisa ser a hora atual ou um horário não superior a 35 dias no passado. Quando não for fornecido, o horário de término será presumido como o horário atual. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.
Para ver o histórico dos dados de vulnerabilidade do VM Manager de uma VM específica em um projeto, execute o seguinte comando:
gcloud asset get-history \
--project=PROJECT_ID \
--asset-names=//osconfig.googleapis.com/projects/PROJECT_NUMBER/locations/ZONE/instances/VM_INSTANCE_ID/vulnerabilityReport \
--content-type=resource \
--start-time="START_TIME" \
--end-time="END_TIME"
Pastas
gcloud asset get-history \
--folder=FOLDER_ID \
--asset-names=//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME \
--content-type=os-inventory \
--start-time="START_TIME" \
--end-time="END_TIME"
Forneça os valores a seguir:
FOLDER_ID
: o ID da pasta em que a instância da VM está localizada.Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID da pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para ver mais informações sobre as pastas encontradas.Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
ZONE
: a zona em que a instância de VM está. Por exemplo,us-central1-a
.VM_INSTANCE_NAME
: o nome da instância de VM.START_TIME
: opcional. O início do período. O período máximo é de sete dias. O valor precisa ser o horário atual ou um horário não superior a 35 dias no passado. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.END_TIME
: opcional. O ponto final do período. O período máximo é de sete dias. O valor precisa ser a hora atual ou um horário não superior a 35 dias no passado. Quando não for fornecido, o horário de término será presumido como o horário atual. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.
Para ver o histórico dos dados de vulnerabilidade do VM Manager de uma VM específica em um projeto, execute o seguinte comando:
gcloud asset get-history \
--folder=FOLDER_ID \
--asset-names=//osconfig.googleapis.com/projects/PROJECT_NUMBER/locations/ZONE/instances/VM_INSTANCE_ID/vulnerabilityReport \
--content-type=resource \
--start-time="START_TIME" \
--end-time="END_TIME"
Organizações
gcloud asset get-history \
--organization=ORGANIZATION_ID \
--asset-names=//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME \
--content-type=os-inventory \
--start-time="START_TIME" \
--end-time="END_TIME"
Forneça os valores a seguir:
ORGANIZATION_ID
: o ID da organização em que a instância de VM está localizada.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID da organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID é exibido ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
ZONE
: a zona em que a instância de VM está. Por exemplo,us-central1-a
.VM_INSTANCE_NAME
: o nome da instância de VM.START_TIME
: opcional. O início do período. O período máximo é de sete dias. O valor precisa ser o horário atual ou um horário não superior a 35 dias no passado. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.END_TIME
: opcional. O ponto final do período. O período máximo é de sete dias. O valor precisa ser a hora atual ou um horário não superior a 35 dias no passado. Quando não for fornecido, o horário de término será presumido como o horário atual. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.
Para ver o histórico dos dados de vulnerabilidade do VM Manager de uma VM específica em um projeto, execute o seguinte comando:
gcloud asset get-history \
--organization=ORGANIZATION_ID \
--asset-names=//osconfig.googleapis.com/projects/PROJECT_NUMBER/locations/ZONE/instances/VM_INSTANCE_ID/vulnerabilityReport \
--content-type=resource \
--start-time="START_TIME" \
--end-time="END_TIME"
REST
Para ver o histórico de todos os recursos de inventário do SO para uma instância de VM especificada em um projeto, execute o seguinte comando:
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetNames": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME",
"contentType": "OS_INVENTORY",
"readTimeWindow": {
"startTime": "START_TIME",
"endTime": "END_TIME"
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE:batchGetAssetsHistory
Forneça os valores a seguir:
PROJECT_ID
: o ID do projeto em que a instância da VM está localizada.ZONE
: a zona em que a instância de VM está. Por exemplo,us-central1-a
.VM_INSTANCE_NAME
: o nome da instância de VM.START_TIME
: opcional. O início do período. O período máximo é de sete dias. O valor precisa ser o horário atual ou um horário não superior a 35 dias no passado. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.END_TIME
: opcional. O ponto final do período. O período máximo é de sete dias. O valor precisa ser a hora atual ou um horário não superior a 35 dias no passado. Quando não for fornecido, o horário de término será presumido como o horário atual. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.SCOPE
: um escopo pode ser um projeto, uma pasta ou uma organização.Os valores permitidos são:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Como encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Escolha a organização na caixa Selecionar de e pesquise o nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado no card Informações do projeto.
CLI da gcloud
É possível recuperar um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID da pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para ver mais informações sobre as pastas encontradas.Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID da organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID é exibido ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para ver o histórico dos dados de vulnerabilidade do VM Manager de uma VM específica em um projeto, execute o seguinte comando:
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetNames": "//osconfig.googleapis.com/projects/PROJECT_ID/locations/ZONE/instances/VM_INSTANCE_NAME/vulnerabilityReport",
"contentType": "RESOURCE",
"readTimeWindow": {
"startTime": "START_TIME",
"endTime": "END_TIME"
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE:batchGetAssetsHistory
Como monitorar alterações de dados do VM Manager com o Pub/Sub
Depois de criar um tópico do Pub/Sub, execute os seguintes comandos para monitorar as alterações do VM Manager.
gcloud
Projetos
Para criar um feed e monitorar VMs com o SO Windows instalado, execute o seguinte comando:
gcloud asset feeds create FEED_ID \
--project=PROJECT_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=compute.googleapis.com/Instance \
--content-type=os-inventory \
--pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID" \
--condition-title="CONDITION_TITLE" \
--condition-description="CONDITION_DESCRIPTION" \
--condition-expression="temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""
Forneça os valores a seguir:
FEED_ID
: um identificador exclusivo de feed de recursos.PROJECT_ID
: o ID do projeto com os metadados que estão sendo enviados ao feed.BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissões para gerenciar seu tópico do Pub/Sub. Leia mais sobre projetos de faturamento.TOPIC_ID
: o ID do tópico do Pub/Sub em que as notificações serão publicadas.CONDITION_TITLE
: opcional. O título da condição a ser aplicada ao feed.CONDITION_DESCRIPTION
: opcional. A descrição da condição a ser aplicada ao feed.
Para criar um feed e monitorar os dados de vulnerabilidade da VM em um projeto, execute o seguinte comando:
gcloud asset feeds create FEED_ID \
--project=PROJECT_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID"
Pastas
Para criar um feed e monitorar VMs com o SO Windows instalado, execute o seguinte comando:
gcloud asset feeds create FEED_ID \
--folder=FOLDER_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=compute.googleapis.com/Instance \
--content-type=os-inventory \
--pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID" \
--condition-title="CONDITION_TITLE" \
--condition-description="CONDITION_DESCRIPTION" \
--condition-expression="temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""
Forneça os valores a seguir:
FEED_ID
: um identificador exclusivo de feed de recursos.FOLDER_ID
: o ID da pasta com os metadados que estão sendo enviados ao feed.Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID da pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para ver mais informações sobre as pastas encontradas.Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissões para gerenciar seu tópico do Pub/Sub. Leia mais sobre projetos de faturamento.TOPIC_ID
: o ID do tópico do Pub/Sub em que as notificações serão publicadas.CONDITION_TITLE
: opcional. O título da condição a ser aplicada ao feed.CONDITION_DESCRIPTION
: opcional. A descrição da condição a ser aplicada ao feed.
Para criar um feed e monitorar os dados de vulnerabilidade da VM em um projeto, execute o seguinte comando:
gcloud asset feeds create FEED_ID \
--folder=FOLDER_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID"
Organizações
Para criar um feed e monitorar VMs com o SO Windows instalado, execute o seguinte comando:
gcloud asset feeds create FEED_ID \
--organization=ORGANIZATION_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=compute.googleapis.com/Instance \
--content-type=os-inventory \
--pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID" \
--condition-title="CONDITION_TITLE" \
--condition-description="CONDITION_DESCRIPTION" \
--condition-expression="temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""
Forneça os valores a seguir:
FEED_ID
: um identificador exclusivo de feed de recursos.ORGANIZATION_ID
: o ID da organização com os metadados enviados para o feed.Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID da organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID é exibido ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissões para gerenciar seu tópico do Pub/Sub. Leia mais sobre projetos de faturamento.TOPIC_ID
: o ID do tópico do Pub/Sub em que as notificações serão publicadas.CONDITION_TITLE
: opcional. O título da condição a ser aplicada ao feed.CONDITION_DESCRIPTION
: opcional. A descrição da condição a ser aplicada ao feed.
Para criar um feed e monitorar os dados de vulnerabilidade da VM em um projeto, execute o seguinte comando:
gcloud asset feeds create FEED_ID \
--organization=ORGANIZATION_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID"
REST
Para criar um feed e monitorar VMs com o SO Windows instalado, execute o seguinte comando:
curl -X POST \
-H "X-Goog-User-Project: BILLING_PROJECT_ID" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"feedId": "FEED_ID",
"feed": {
"assetTypes": ["compute.googleapis.com/Instance"],
"contentType": "OS_INVENTORY",
"feedOutputConfig": {
"pubsubDestination": {
"topic": "projects/PROJECT_ID/topics/TOPIC_ID"
}
},
"condition": {
"title": "CONDITION_TITLE",
"description": "CONDITION_DESCRIPTION",
"expression": "temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""
}
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE/feeds
Forneça os valores a seguir:
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissões para gerenciar seu tópico do Pub/Sub. Leia mais sobre projetos de faturamento.FEED_ID
: um identificador exclusivo de feed de recursos.PROJECT_ID
: o ID do projeto em que o tópico do Pub/Sub está localizado.TOPIC_ID
: o ID do tópico do Pub/Sub em que as notificações serão publicadas.CONDITION_TITLE
: opcional. O título da condição a ser aplicada ao feed.CONDITION_DESCRIPTION
: opcional. A descrição da condição a ser aplicada ao feed.SCOPE
: um escopo pode ser um projeto, uma pasta ou uma organização.Os valores permitidos são:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Como encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Escolha a organização na caixa Selecionar de e pesquise o nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado no card Informações do projeto.
CLI da gcloud
É possível recuperar um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID da pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para ver mais informações sobre as pastas encontradas.Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Como encontrar um ID da organização do Google Cloud
Console
Para encontrar um ID da organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Selecione a guia Todos. O ID é exibido ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para criar um feed e monitorar os dados de vulnerabilidade da VM, execute o seguinte comando:
curl -X POST \
-H "X-Goog-User-Project: BILLING_PROJECT_ID" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"feedId": "FEED_ID",
"feed": {
"assetTypes": ["osconfig.googleapis.com/VulnerabilityReport"],
"contentType": "RESOURCE",
"feedOutputConfig": {
"pubsubDestination": {
"topic": "projects/PROJECT_ID/topics/TOPIC_ID"
}
}
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE/feeds
Consulte Como monitorar alterações de recursos para mais detalhes.