Analisi dello spostamento dei progetti

Questa guida descrive come utilizzare l'API Move Asset Analyze Move per ottenere un report dettagliato su avvisi e blocchi da un elenco di sistemi di criteri critici prima di spostare effettivamente il progetto.

Abilita API

Seleziona o crea un progetto come progetto consumer dell'API, abilita API Cloud Asset

Questo progetto consumer può essere diverso dal progetto che intendi analizzare ed eseguire di migrazione. Il progetto consumer verrà utilizzato per generare le credenziali per effettuare una richiesta API.

La sezione successiva descrive i ruoli e le autorizzazioni richiesti che devono essere concessi nel progetto di origine che intendi analizzare.

Assegnare le autorizzazioni

Per eseguire un'analisi di spostamento del progetto, devi avere un ruolo che conceda l'autorizzazione cloudasset.assets.analyzeMove, ad esempio Visualizzatore asset cloud o Visualizzatore.

Per ricevere l'analisi su un servizio, devi anche disporre dei ruoli correlati a tali servizi. Queste autorizzazioni includono:

  • Se vuoi visualizzare i criteri IAM ereditati dalla risorsa organizzazione principale del progetto di origine, hai bisogno dell'autorizzazione resourcemanager.organizations.getIamPolicy per la risorsa dell'organizzazione principale del progetto di origine.

  • Se vuoi visualizzare i criteri IAM ereditati dalla cartella principale del progetto di origine, devi disporre dell'autorizzazione resourcemanager.folders.getIamPolicy per la cartella principale del progetto di origine.

  • Se vuoi visualizzare i criteri IAM sul progetto, devi disporre dell'autorizzazione resourcemanager.projects.getIamPolicy per il progetto di origine.

  • Se vuoi visualizzare i criteri dell'organizzazione ereditati da questo progetto, devi disporre dell'autorizzazione orgpolicy.policy.get per il progetto di origine.

  • Se vuoi visualizzare i criteri firewall di Compute Engine ereditati in questo progetto, devi avere l'autorizzazione compute.organizations.setSecurityPolicy nella risorsa o nella cartella di origine.

  • Se vuoi visualizzare i tag ereditati su questo progetto, devi disporre dell'autorizzazione resourcemanager.hierarchyNodes.listEffectiveTags per il progetto di origine o per i suoi nodi predecessori.

Eseguire l'analisi

Puoi utilizzare Google Cloud CLI o l'API per analizzare la migrazione di una risorsa dalla sua posizione attuale nella gerarchia delle risorse.

gcloud

Per analizzare gli effetti della migrazione di un progetto dalla sua posizione attuale nella gerarchia delle risorse, utilizza il comando gcloud asset analyze-move:

gcloud asset analyze-move --project=PROJECT_ID \
  (--destination-folder=FOLDER_ID \
    | --destination-organization=ORGANIZATION_ID)

Per analizzare l'impatto dello spostamento di un progetto in un'altra cartella, esegui il comando con --destination-folder:

gcloud asset analyze-move --project=PROJECT_ID \
  --destination-folder=FOLDER_ID

Per analizzare l'impatto dello spostamento di un progetto in un'altra organizzazione, esegui il comando con --destination-organization:

gcloud asset analyze-move --project=PROJECT_ID \
  --destination-organization=ORGANIZATION_ID

Dove:

  • PROJECT_ID è l'ID univoco del progetto di cui stai eseguendo la migrazione. Ad esempio, --myProject123.

  • FOLDER_ID è l'ID numerico della cartella di destinazione su cui eseguire l'analisi. Ad esempio, 45678901123.

  • ORGANIZATION_ID è l'ID numerico dell'organizzazione di destinazione su cui eseguire l'analisi. Ad esempio, 78901123456.

API

Per analizzare gli effetti della migrazione di un progetto dalla sua posizione attuale nella gerarchia delle risorse senza eseguire lo spostamento, utilizza il metodo cloudasset.analyzeMove:

GET https://cloudasset.googleapis.com/v1/{resource=*/*}: \
  analyzeMove?destinationParent=DESTINATION_NAME

Dove:

  • resource è il nome della risorsa su cui eseguire l'analisi. Sono supportate solo le risorse di progetto, quindi deve essere l'ID o un numero di progetto. Ad esempio, projects/my-project-id o projects/12345.

  • DESTINATION_NAME è il nome della cartella dell'organizzazione o della cartella Google Cloud per corrispondere la risorsa di destinazione. L'analisi verrà eseguita sull'impatto dello spostamento della risorsa sull'elemento padre di destinazione specificato. La destinazione deve essere un numero di cartella o un numero di risorsa dell'organizzazione. Ad esempio, folders/123 o organizations/123.

Sposta le risposte dell'analisi

La risposta che ricevi dall'API Move Analysis è raggruppata per nome del servizio. Sotto ogni servizio è riportato un elenco di avvisi e blocchi applicabili alla migrazione di questo progetto. Qualsiasi blocco restituito da questa analisi significa che la migrazione del progetto sarà bloccata durante l'esecuzione se procedi con lo spostamento prima di risolverli.

Risolvere gli errori

Se viene restituito un errore dall'API Move Analysis, include un codice gRPC standard e un messaggio che descrive il motivo per cui l'API Move Analysis non è riuscita ad analizzare il progetto.

La seguente tabella descrive i codici di errore che potrebbero essere restituiti dall'API Move Analysis:

Nome errore Codice di errore Descrizione
Argomento non valido 3 Restituito se chiami l'API su un progetto con un argomento non valido, ad esempio un nome della risorsa errato.
Autorizzazione negata 7 Restituito se non disponi delle autorizzazioni necessarie per eseguire l'analisi o se il progetto di origine non esiste.
Interno 13 Vengono restituite in caso di problemi con una chiamata a un sistema di criteri, come i criteri di Identity and Access Management o di organizzazione. Questo non indica che la migrazione non è possibile, ma puoi riprovare a eseguire l'analisi dopo aver controllato il servizio per un'interruzione.
Non disponibile 14 Restituito se un sistema interno non è sincronizzato. Questo non indica che la migrazione non è possibile, ma puoi riprovare l'analisi.
Non autenticati 16 Restituito se non hai fornito le credenziali corrette per eseguire questa analisi.

Esempio di messaggio di errore

L'esempio seguente mostra il codice di errore restituito per un utente che non dispone dell'autorizzazione cloudasset.assets.analyzeMove per il progetto di cui eseguire la migrazione:

{
  "error": {
  "code": 403,
  "message": "Failed to fetch Project: projects/test-project-service-3 to perform
              move analysis.",
  "status": "PERMISSION_DENIED"}
}

Alcuni sistemi di criteri potrebbero non riuscire ad analizzare lo spostamento delle risorse. L'esempio seguente mostra l'errore restituito dal servizio Firewall gerarchico quando l'utente non dispone dell'autorizzazione compute.organizations.setSecurityPolicy per il progetto di cui eseguire la migrazione:

{
  "moveAnalysis": [{
    "displayName": "name hidden",
    "analysis": {
      "warnings": [{
        "detail": "details hidden"
      }]
    }
  }, {
    "displayName": "name hidden",
    "analysis": {
      "warnings": [{
        "detail": "details hidden"
      }]
    }
  }, {
    "displayName": "Hierarchical Firewall",
    "error": {
      "code": 7,
      "message": "Failed to retrieve inherited security policies to perform
                  analysis. Required 'compute.organizations.setSecurityPolicy'
                  permission for {resource ID}"
     }}]
}

Passaggi successivi

L'API Move Analysis offre dettagli che aiutano a mitigare i blocchi e altri problemi durante lo spostamento di un progetto da una risorsa dell'organizzazione a un'altra. Per ulteriori informazioni sulla migrazione dei progetti tra le risorse dell'organizzazione, vedi Migrazione dei progetti.