Panduan ini menjelaskan cara menggunakan Cloud Asset Inventory Analyze Move API untuk mendapatkan laporan mendetail tentang peringatan dan pemblokir dari daftar sistem kebijakan kritis sebelum benar-benar memindahkan project Anda.
Mengaktifkan API
Pilih atau buat project sebagai project konsumen API Anda, aktifkan Cloud Asset API
Project konsumen ini dapat berbeda dengan project yang ingin Anda analisis dan migrasikan. Project konsumen akan digunakan untuk membuat kredensial guna membuat permintaan API.
Bagian berikutnya menjelaskan peran dan izin yang diperlukan yang harus diberikan pada project sumber yang ingin Anda analisis.
Menetapkan izin
Untuk melakukan analisis pemindahan project, Anda memerlukan peran yang memberikan izin cloudasset.assets.analyzeMove, seperti Cloud Asset Viewer atau Viewer.
Untuk menerima analisis tentang layanan, Anda juga memerlukan peran yang terkait dengan layanan tersebut. Izin ini mencakup hal berikut:
Jika ingin melihat kebijakan IAM yang diwarisi dari resource organisasi induk project sumber, Anda memerlukan izin
resourcemanager.organizations.getIamPolicydi resource organisasi induk project sumber.Jika ingin melihat kebijakan IAM yang diwarisi dari folder induk project sumber, Anda memerlukan izin
resourcemanager.folders.getIamPolicydi folder induk project sumber.Jika ingin melihat kebijakan IAM pada project, Anda memerlukan izin
resourcemanager.projects.getIamPolicydi project sumber.Jika ingin melihat kebijakan organisasi yang diwariskan di project ini, Anda memerlukan izin
orgpolicy.policy.getdi project sumber.Jika ingin melihat kebijakan firewall Compute Engine yang diwarisi di project ini, Anda memerlukan izin
compute.organizations.setSecurityPolicydi folder sumber atau resource organisasi.Jika ingin melihat tag yang diwarisi di project ini, Anda memerlukan izin
resourcemanager.hierarchyNodes.listEffectiveTagsdi project sumber atau node leluhurnya.
Melakukan analisis
Anda dapat menggunakan Google Cloud CLI atau API untuk menganalisis migrasi resource dari tempatnya saat ini dalam hierarki resource.
gcloud
Untuk menganalisis dampak migrasi project dari posisinya saat ini dalam hierarki resource, gunakan perintah gcloud asset analyze-move:
gcloud asset analyze-move --project=PROJECT_ID \
(--destination-folder=FOLDER_ID \
| --destination-organization=ORGANIZATION_ID)
Untuk menganalisis dampak pemindahan project ke folder yang berbeda, jalankan perintah dengan --destination-folder:
gcloud asset analyze-move --project=PROJECT_ID \ --destination-folder=FOLDER_ID
Untuk menganalisis dampak pemindahan project ke organisasi lain, jalankan perintah dengan --destination-organization:
gcloud asset analyze-move --project=PROJECT_ID \ --destination-organization=ORGANIZATION_ID
Dengan keterangan:
PROJECT_IDadalah project ID unik dari project yang Anda migrasikan. Contoh,--myProject123.FOLDER_IDadalah ID folder numerik dari folder tujuan tempat analisis akan dilakukan. Contoh,45678901123.ORGANIZATION_IDadalah ID organisasi numerik dari organisasi tujuan tempat analisis akan dilakukan. Contoh,78901123456.
API
Untuk menganalisis dampak migrasi project dari posisinya saat ini dalam hierarki resource tanpa melakukan pemindahan, gunakan metode cloudasset.analyzeMove:
GET https://cloudasset.googleapis.com/v1/{resource=*/*}: \
analyzeMove?destinationParent=DESTINATION_NAME
Dengan keterangan:
resourceadalah nama resource tempat melakukan analisis. Hanya resource project yang didukung, sehingga ini harus berupa Project ID atau Project Number. Misalnya,projects/my-project-idatauprojects/12345.DESTINATION_NAMEadalah nama folder atau resource organisasi Google Cloud untuk menetapkan ulang parent resource target. Analisis akan dilakukan pada dampak pemindahan resource ke induk tujuan yang ditentukan. Tujuan harus berupa nomor folder atau nomor resource organisasi. Misalnyafolders/123atauorganizations/123.
Memindahkan respons analisis
Respons yang Anda terima dari Move Analysis API dikelompokkan berdasarkan nama layanan. Di bawah setiap layanan terdapat daftar peringatan dan pemblokir yang berlaku untuk migrasi project ini. Setiap pemblokir yang ditampilkan oleh analisis ini berarti bahwa migrasi project akan diblokir pada waktu proses jika Anda melanjutkan pemindahan sebelum menyelesaikannya.
Pemecahan masalah terkait error
Jika ada error yang ditampilkan oleh Move Analysis API, error tersebut akan menyertakan kode gRPC standar, serta pesan yang menjelaskan alasan kegagalan Move Analysis API untuk menganalisis project.
Tabel berikut menjelaskan kode error yang berpotensi ditampilkan oleh Move Analysis API:
| Nama error | Kode error | Deskripsi |
|---|---|---|
| Argumen tidak valid | 3 | Ditampilkan jika Anda memanggil API pada project dengan argumen yang tidak valid, seperti nama resource yang salah. |
| Izin ditolak | 7 | Ditampilkan jika Anda tidak memiliki izin yang diperlukan untuk melakukan analisis atau project sumber tidak ada. |
| Internal | 13 | Ditampilkan jika ada masalah dengan panggilan ke sistem kebijakan seperti Identity and Access Management atau kebijakan organisasi. Hal ini tidak menunjukkan bahwa migrasi tidak dapat dilakukan, dan Anda dapat mencoba lagi analisis setelah memeriksa layanan untuk mengetahui pemadaman layanan. |
| Tidak tersedia | 14 | Ditampilkan jika sistem internal tidak sinkron. Hal ini tidak menunjukkan bahwa migrasi tidak mungkin, dan Anda dapat mencoba kembali analisis. |
| Tidak diautentikasi | 16 | Ditampilkan jika Anda belum memberikan kredensial yang benar untuk melakukan analisis ini. |
Contoh pesan error
Contoh berikut menunjukkan kode error yang ditampilkan untuk pengguna yang tidak
memiliki izin cloudasset.assets.analyzeMove pada project yang akan dimigrasikan:
{
"error": {
"code": 403,
"message": "Failed to fetch Project: projects/test-project-service-3 to perform
move analysis.",
"status": "PERMISSION_DENIED"}
}
Beberapa sistem kebijakan mungkin gagal menganalisis pemindahan resource. Contoh berikut menunjukkan error yang ditampilkan dari layanan Firewall Hierarkis saat pengguna tidak memiliki izin compute.organizations.setSecurityPolicy pada project yang akan dimigrasikan:
{
"moveAnalysis": [{
"displayName": "name hidden",
"analysis": {
"warnings": [{
"detail": "details hidden"
}]
}
}, {
"displayName": "name hidden",
"analysis": {
"warnings": [{
"detail": "details hidden"
}]
}
}, {
"displayName": "Hierarchical Firewall",
"error": {
"code": 7,
"message": "Failed to retrieve inherited security policies to perform
analysis. Required 'compute.organizations.setSecurityPolicy'
permission for {resource ID}"
}}]
}
Langkah selanjutnya
Move Analysis API memberikan detail yang membantu memitigasi pemblokir dan masalah lain saat memindahkan project dari satu resource organisasi ke resource lainnya. Untuk informasi selengkapnya tentang memigrasikan project di antara resource organisasi, lihat Memigrasikan project.