Projektverschiebung analysieren

In diesem Leitfaden wird beschrieben, wie Sie die Cloud Asset Inventory Analyze Move API verwenden, um einen detaillierten Bericht über Warnungen und Hindernisse von einer Liste kritischer Richtliniensysteme zu erhalten, bevor Sie Ihr Projekt tatsächlich verschieben.

APIs aktivieren

Ein Projekt als API-Nutzerprojekt auswählen oder erstellen und die Cloud Asset API aktivieren

Dieses Nutzerprojekt kann sich von dem Projekt unterscheiden, das Sie analysieren und migrieren möchten. Das Nutzerprojekt wird zum Generieren von Anmeldedaten für die API-Anfrage verwendet.

Im nächsten Abschnitt werden die erforderlichen Rollen und Berechtigungen beschrieben, die dem Quellprojekt, das Sie analysieren möchten, gewährt werden müssen.

Berechtigungen zuweisen

Für die Analyse der Projektverschiebung benötigen Sie eine Rolle mit der Berechtigung cloudasset.assets.analyzeMove, z. B. Cloud Asset-Betrachter oder Betrachter.

Wenn Sie Analysen für einen Dienst erhalten möchten, benötigen Sie außerdem Rollen im Zusammenhang mit diesen Diensten. Diese Berechtigungen umfassen Folgendes:

  • Wenn Sie die übernommenen IAM-Richtlinien der übergeordneten Organisationsressource des Quellprojekts aufrufen möchten, benötigen Sie die Berechtigung resourcemanager.organizations.getIamPolicy für die übergeordnete Organisationsressource des Quellprojekts.

  • Wenn Sie die übernommenen IAM-Richtlinien aus dem übergeordneten Ordner des Quellprojekts aufrufen möchten, benötigen Sie die Berechtigung resourcemanager.folders.getIamPolicy für den übergeordneten Ordner des Quellprojekts.

  • Wenn Sie die IAM-Richtlinien für das Projekt aufrufen möchten, benötigen Sie die Berechtigung resourcemanager.projects.getIamPolicy für das Quellprojekt.

  • Wenn Sie die Organisationsrichtlinien aufrufen möchten, die in diesem Projekt übernommen wurden, benötigen Sie die Berechtigung orgpolicy.policy.get für das Quellprojekt.

  • Wenn Sie die in diesem Projekt übernommenen Compute Engine-Firewallrichtlinien aufrufen möchten, benötigen Sie die Berechtigung compute.organizations.setSecurityPolicy für den Quellordner oder die Organisationsressource.

  • Wenn Sie die übernommenen Tags für dieses Projekt aufrufen möchten, benötigen Sie die Berechtigung resourcemanager.hierarchyNodes.listEffectiveTags für das Quellprojekt oder seine übergeordneten Knoten.

Analyse durchführen

Sie können die Google Cloud CLI oder die API verwenden, um die Migration einer Ressource von ihrem aktuellen Platz in der Ressourcenhierarchie zu analysieren.

gcloud

Verwenden Sie den Befehl gcloud asset analyze-move, um die Auswirkungen der Migration eines Projekts von seiner aktuellen Position in der Ressourcenhierarchie zu analysieren:

gcloud asset analyze-move --project=PROJECT_ID \
  (--destination-folder=FOLDER_ID \
    | --destination-organization=ORGANIZATION_ID)

Wenn Sie die Auswirkungen des Verschiebens eines Projekts in einen anderen Ordner analysieren möchten, führen Sie den Befehl mit --destination-folder aus:

gcloud asset analyze-move --project=PROJECT_ID \
  --destination-folder=FOLDER_ID

Wenn Sie die Auswirkungen des Verschiebens eines Projekts in eine andere Organisation analysieren möchten, führen Sie den Befehl mit --destination-organization aus:

gcloud asset analyze-move --project=PROJECT_ID \
  --destination-organization=ORGANIZATION_ID

Wobei:

  • PROJECT_ID ist die eindeutige Projekt-ID des Projekts, das Sie migrieren. Beispiel: --myProject123.

  • FOLDER_ID ist die numerische Ordner-ID des Zielordners, in dem die Analyse durchgeführt werden soll. Beispiel: 45678901123.

  • ORGANIZATION_ID ist die numerische Organisations-ID der Zielorganisation, für die die Analyse durchgeführt werden soll. Beispiel: 78901123456.

API

Verwenden Sie die Methode cloudasset.analyzeMove, um die Auswirkungen einer Migration eines Projekts von seiner aktuellen Position in der Ressourcenhierarchie zu analysieren, ohne die Migration auszuführen:

GET https://cloudasset.googleapis.com/v1/{resource=*/*}: \
  analyzeMove?destinationParent=DESTINATION_NAME

Wobei:

  • resource ist der Name der Ressource, für die die Analyse durchgeführt werden soll. Es werden nur Projektressourcen unterstützt. Daher muss dies die Projekt-ID oder eine Projektnummer sein. Beispiel: projects/my-project-idoder projects/12345.

  • DESTINATION_NAME ist der Name des Google Cloud-Ordners oder der Google Cloud-Organisationsressource, der bzw. die der Zielressource als übergeordnetes Element zugewiesen werden soll. Dabei werden die Auswirkungen der Verschiebung der Ressource zum angegebenen übergeordneten Ziel untersucht. Das Ziel muss eine Ordnernummer oder eine Organisationsressourcennummer sein. Beispiel: folders/123oder organizations/123

Analyseantworten verschieben

Die Antwort, die Sie von der Move Analysis API erhalten, wird nach Dienstname gruppiert. Unter jedem Dienst befindet sich eine Liste von Warnungen und Blockierungen, die für diese Projektmigration gelten. Die Blockierungen, die von dieser Analyse zurückgegeben werden, bedeuten, dass die Projektmigration zur Laufzeit blockiert wird, wenn Sie mit dem Verschieben fortfahren, bevor Sie diese beheben.

Fehlerbehebung

Wenn die Move Analysis API einen Fehler zurückgibt, enthält sie einen standardmäßigen gRPC-Code sowie eine Nachricht, die den Grund für das Scheitern der Analyse des Projekts durch die Move Analysis API beschreibt.

In der folgenden Tabelle werden die Fehlercodes beschrieben, die von der Move Analysis API möglicherweise zurückgegeben werden:

Fehlername Fehlercode Beschreibung
Ungültiges Argument 3 Wird zurückgegeben, wenn Sie die API für ein Projekt mit einem ungültigen Argument aufrufen, z. B. mit einem falschen Ressourcennamen.
Berechtigung verweigert 7 Wird zurückgegeben, wenn Sie nicht die erforderlichen Berechtigungen zum Ausführen der Analyse haben oder das Quellprojekt nicht vorhanden ist.
Intern 13 Wird zurückgegeben, wenn bei einem Aufruf an ein Richtliniensystem wie der Identitäts- und Zugriffsverwaltung oder der Organisationsrichtlinie ein Problem auftritt. Das bedeutet nicht, dass die Migration nicht möglich ist. Sie können die Analyse wiederholen, nachdem Sie den Dienst auf einen Ausfall überprüft haben.
Nicht verfügbar 14 Wird zurückgegeben, wenn ein internes System nicht synchron ist. Das bedeutet nicht, dass die Migration nicht möglich ist. Sie können die Analyse wiederholen.
Nicht authentifiziert 16 Wird zurückgegeben, wenn Sie nicht die richtigen Anmeldedaten für diese Analyse angegeben haben.

Beispiel für Fehlermeldung

Das folgende Beispiel zeigt den Fehlercode, der einem Nutzer zurückgegeben wird, der nicht die Berechtigung cloudasset.assets.analyzeMove für das zu migrierende Projekt hat:

{
  "error": {
  "code": 403,
  "message": "Failed to fetch Project: projects/test-project-service-3 to perform
              move analysis.",
  "status": "PERMISSION_DENIED"}
}

Einige Richtliniensysteme analysieren die Ressourcenverschiebung möglicherweise nicht. Das folgende Beispiel zeigt den vom hierarchischen Firewalldienst zurückgegebenen Fehler, wenn der Nutzer die Berechtigung compute.organizations.setSecurityPolicy für das zu migrierende Projekt nicht hat:

{
  "moveAnalysis": [{
    "displayName": "name hidden",
    "analysis": {
      "warnings": [{
        "detail": "details hidden"
      }]
    }
  }, {
    "displayName": "name hidden",
    "analysis": {
      "warnings": [{
        "detail": "details hidden"
      }]
    }
  }, {
    "displayName": "Hierarchical Firewall",
    "error": {
      "code": 7,
      "message": "Failed to retrieve inherited security policies to perform
                  analysis. Required 'compute.organizations.setSecurityPolicy'
                  permission for {resource ID}"
     }}]
}

Nächste Schritte

Die Move Analysis API enthält Details, mit denen Hindernisse und andere Probleme behoben werden können, wenn ein Projekt von einer Organisationsressource in eine andere verschoben wird. Weitere Informationen zum Migrieren von Projekten zwischen Organisationsressourcen finden Sie unter Projekte migrieren.