Questa guida descrive come utilizzare l'API Cloud Asset Inventory Analyze Move per generare un report dettagliato su avvisi e blocchi da un elenco di sistemi di criteri critici prima di spostare effettivamente il progetto.
Abilita API
Seleziona o crea un progetto come progetto consumer dell'API, abilita l'API Cloud Asset
Questo progetto consumer può essere diverso dal progetto che prevedi di analizzare e di cui eseguire la migrazione. Il progetto consumer verrà utilizzato per generare le credenziali per effettuare la richiesta API.
La sezione successiva descrive i ruoli e le autorizzazioni richiesti che devono essere concessi al progetto di origine che intendi analizzare.
Assegnare le autorizzazioni
Per eseguire un'analisi del trasferimento di un progetto, devi disporre di un ruolo che conceda l'autorizzazionecloudasset.assets.analyzeMove, ad esempio Visualizzatore asset cloud o Visualizzatore.
Per ricevere analisi su un servizio, devi disporre anche dei ruoli relativi a questi servizi. Queste autorizzazioni includono:
Se vuoi visualizzare i criteri IAM ereditati dalla risorsa dell'organizzazione padre del progetto di origine, devi disporre dell'autorizzazione
resourcemanager.organizations.getIamPolicyper la risorsa dell'organizzazione padre del progetto di origine.Se vuoi visualizzare i criteri IAM ereditati dalla cartella principale del progetto di origine, devi disporre dell'autorizzazione
resourcemanager.folders.getIamPolicyper la cartella principale del progetto di origine.Se vuoi visualizzare i criteri IAM nel progetto, devi disporre dell'autorizzazione
resourcemanager.projects.getIamPolicynel progetto di origine.Se vuoi visualizzare i criteri dell'organizzazione ereditati in questo progetto, devi disporre dell'autorizzazione
orgpolicy.policy.getper il progetto di origine.Se vuoi visualizzare le policy firewall di Compute Engine ereditate in questo progetto, devi disporre dell'autorizzazione
compute.organizations.setSecurityPolicyper la risorsa dell'organizzazione o della cartella di origine.Se vuoi visualizzare i tag ereditati in questo progetto, devi disporre dell'autorizzazione
resourcemanager.hierarchyNodes.listEffectiveTagsper il progetto di origine o per i relativi nodi precedenti.
Esegui l'analisi
Puoi utilizzare Google Cloud CLI o l'API per analizzare la migrazione di una risorsa dal suo posizionamento corrente nella gerarchia delle risorse.
gcloud
Per analizzare gli impatti della migrazione di un progetto dalla sua posizione corrente nella gerarchia delle risorse, utilizza il comando gcloud asset analyze-move:
gcloud asset analyze-move --project=PROJECT_ID \
(--destination-folder=FOLDER_ID \
| --destination-organization=ORGANIZATION_ID)
Per analizzare gli impatti dello spostamento di un progetto in un'altra cartella, esegui il comando con --destination-folder:
gcloud asset analyze-move --project=PROJECT_ID \ --destination-folder=FOLDER_ID
Per analizzare l'impatto dello spostamento di un progetto in un'altra organizzazione,
esegui il comando con --destination-organization:
gcloud asset analyze-move --project=PROJECT_ID \ --destination-organization=ORGANIZATION_ID
Dove:
PROJECT_IDè l'ID univoco del progetto di cui stai eseguendo la migrazione. Ad esempio,--myProject123.FOLDER_IDè l'ID numerico della cartella di destinazione su cui eseguire l'analisi. Ad esempio,45678901123.ORGANIZATION_IDè l'ID numerico dell'organizzazione di destinazione su cui eseguire l'analisi. Ad esempio,78901123456.
API
Per analizzare gli impatti della migrazione di un progetto dalla sua posizione corrente nella gerarchia delle risorse senza eseguire lo spostamento, utilizza il metodo cloudasset.analyzeMove:
GET https://cloudasset.googleapis.com/v1/{resource=*/*}: \
analyzeMove?destinationParent=DESTINATION_NAME
Dove:
resourceè il nome della risorsa su cui eseguire l'analisi. Sono supportate solo le risorse di progetto, quindi deve essere l'ID progetto o un numero di progetto. Ad esempio,projects/my-project-idoprojects/12345.DESTINATION_NAMEè il nome della risorsa organizzazione o della cartella Google Cloud a cui riassegnare la risorsa di destinazione. L'analisi verrà eseguita sugli impatti del trasferimento della risorsa all'elemento principale di destinazione specificato. La destinazione deve essere un numero di cartella o un numero di risorsa dell'organizzazione. Ad esempio,folders/123oorganizations/123.
Spostare le risposte all'analisi
La risposta che ricevi dall'API Move Analysis è raggruppata per nome del servizio. Sotto ogni servizio è riportato un elenco di avvisi e blocchi applicabili a questa migrazione del progetto. Eventuali blocchi restituiti da questa analisi indicano che la migrazione del progetto verrà bloccata in fase di esecuzione se procedi con il trasferimento prima di risolverli.
.Risolvere gli errori
Se l'API Move Analysis restituisce un errore, include un codice gRPC standard, nonché un messaggio che descrive il motivo dell'errore dell'analisi del progetto da parte dell'API Move Analysis.
La seguente tabella descrive i codici di errore che potrebbero essere potenzialmente restituiti dall'API Move Analysis:
| Nome dell'errore | Codice di errore | Descrizione |
|---|---|---|
| Argomento non valido | 3 | Viene restituito se chiami l'API in un progetto con un argomento non valido, ad esempio un nome della risorsa errato. |
| Autorizzazione negata | 7 | Viene restituito se non disponi delle autorizzazioni necessarie per eseguire l'analisi o se il progetto di origine non esiste. |
| Interno | 13 | Viene restituito se si verifica un problema con una chiamata a un sistema di criteri come Identity and Access Management o i criteri dell'organizzazione. Ciò non indica che la migrazione non sia possibile e puoi riprovare a eseguire l'analisi dopo aver controllato se il servizio è inattivo. |
| Non disponibile | 14 | Viene restituito se un sistema interno non è sincronizzato. Ciò non indica che la migrazione non sia possibile e puoi riprovare a eseguire l'analisi. |
| Non autenticato | 16 | Viene restituito se non hai fornito le credenziali corrette per eseguire questa analisi. |
Esempio di messaggio di errore
L'esempio seguente mostra il codice di errore restituito per un utente che non ha l'autorizzazione cloudasset.assets.analyzeMove per il progetto di cui deve essere eseguita la migrazione:
{
"error": {
"code": 403,
"message": "Failed to fetch Project: projects/test-project-service-3 to perform
move analysis.",
"status": "PERMISSION_DENIED"}
}
Alcuni sistemi di criteri potrebbero non riuscire ad analizzare lo spostamento delle risorse. L'esempio seguente mostra l'errore restituito dal servizio Firewall gerarchico quando l'utente non dispone dell'autorizzazione compute.organizations.setSecurityPolicy per il progetto di cui deve essere eseguita la migrazione:
{
"moveAnalysis": [{
"displayName": "name hidden",
"analysis": {
"warnings": [{
"detail": "details hidden"
}]
}
}, {
"displayName": "name hidden",
"analysis": {
"warnings": [{
"detail": "details hidden"
}]
}
}, {
"displayName": "Hierarchical Firewall",
"error": {
"code": 7,
"message": "Failed to retrieve inherited security policies to perform
analysis. Required 'compute.organizations.setSecurityPolicy'
permission for {resource ID}"
}}]
}
Passaggi successivi
L'API Move Analysis fornisce dettagli che aiutano a mitigare gli elementi che bloccano e altri problemi durante lo spostamento di un progetto da una risorsa dell'organizzazione a un'altra. Per ulteriori informazioni sulla migrazione dei progetti tra le risorse dell'organizzazione, consulta la sezione Migrazione dei progetti.