Cloud Asset Inventory の概要

Cloud Asset Inventory は、時系列データベースに基づいてインベントリ サービスを提供します。このデータベースは、Google Cloud のアセット メタデータの 35 日間分の履歴を保持します。過去 35 日間変更がない既存のアセットの場合、Cloud Asset Inventory はアセットの最新ステータスを保持します。

Cloud Asset Inventory では次のことができます。

• カスタムクエリ言語を使用してアセット メタデータを検索します。

• 特定のタイムスタンプを持つすべてのアセット メタデータ、または指定期間内のイベントの変更履歴をエクスポートします。

• リアルタイム通知に登録してアセットの変更をモニタリングします。

• IAM ポリシーを分析して、誰が何にアクセスできるかを調べます。

機能

アセットの検索

Cloud Asset Inventory 検索サービスを使用すると、カスタムクエリ言語を使用して、プロジェクト、フォルダ、組織内のアセット メタデータを検索できます。

詳細については、リソース検索ガイドとIAM ポリシー検索ガイドをご覧ください。

アセット履歴とメタデータをエクスポートする

Cloud Asset Inventory エクスポート サービスを使用すると、任意のタイムスタンプにおけるすべてのアセット メタデータを Cloud Storage ファイルまたは BigQuery テーブルにエクスポートできます。任意の期間に、複数のアセットのイベント変更履歴をエクスポートすることもできます。エクスポートしたイベント変更履歴には、指定したアセットの一定期間における作成イベント、削除イベント、更新イベントがすべて表示されます。

詳細については、BigQuery へのアセットのエクスポート、Cloud Storage へのアセットのエクスポートとアセット履歴の表示をご覧ください。

アセットの変更のモニタリング

Cloud Asset Inventory を使用して、リアルタイムで通知されているリソースやポリシーの変更をモニタリングできます。アセット フィードを作成して受信登録すると、目的のアセット名またはアセットタイプの変更に関する最新情報を即座に受け取ることができます。

詳細については、アセットの変更のモニタリングをご覧ください。

アセットの分析

Cloud Asset Inventory 分析サービスを使用すると、プロジェクト、フォルダ、組織内の IAM ポリシーを分析できます。

詳細については、IAM ポリシーの分析、Cloud Storage への結果の書き込み、BigQuery への結果の書き込みをご覧ください。

Recommender サービスを使用すると、アセットから生成された分析情報を表示できます。

主なコンセプト

コンテンツ タイプ

コンテンツ タイプは、API をクエリするときに指定できます。

コンテンツ タイプ		説明
gcloud 名	REST 名
access-policy	ACCESS_POLICY	アセットに設定されている Access Context Manager ポリシー。
content-type-unspecified	CONTENT_TYPE_UNSPECIFIED	メタデータは出力されません。
iam-policy	IAM_POLICY	リソースへの IAM ポリシー メタデータ バインディング。
org-policy	ORG_POLICY	アセットに設定されている組織のポリシーのメタデータ。このコンテンツ タイプは、以前の組織のポリシー v1 を出力します。組織のポリシー v2 の場合は、resource コンテンツ タイプと orgpolicy.googleapis.com/Policy リソースタイプを試します。
os-inventory	OS_INVENTORY	ランタイム OS インベントリ情報。
relationship	RELATIONSHIP	関連リソース。Security Command Center のプレミアム ティアのサブスクライバーのみが使用できます。
resource	RESOURCE	リソースのメタデータ。

resource 以外のコンテンツ タイプの場合、入力アセットタイプまたはアセット名は、ポリシー自体ではなく、ポリシーがバインドするアセットタイプまたはアセット名にする必要があります。

アセット

アセットとは、Google Cloud のリソースまたはポリシーのことです。Cloud Asset Inventory は、次の 3 つの主なアセット コンテンツ タイプをサポートしています。

• リソース: Google Cloud リソースのメタデータ。次に例を示します。

  • Compute Engine 仮想マシン（VM）

  • Cloud Storage バケット

  • App Engineのインスタンス

• ポリシー: Google Cloud リソースに対して設定された次のいずれかのポリシーのメタデータ。次に例を示します。

  • IAM ポリシー

  • 組織のポリシー

  • Access Context Manager のポリシー

• ランタイム情報: Google Cloud リソースに設定されているランタイム情報のメタデータ。（OS Inventory Management など）。

詳細については、サポートされているアセットタイプをご覧ください。

アセット スナップショット

アセット スナップショットとは、特定のタイムスタンプにおいて Resource Manager のプロジェクト、フォルダ、または組織に含まれる利用可能なアセットのセットです。

アセット履歴

1 つのアセットに関して、アセット履歴には、タイムスタンプ T₁ と T₂ 間のすべてのメタデータ作成イベント、削除イベント、および更新イベントが含まれます。詳細は、アセット履歴の表示をご覧ください。

保持

Cloud Asset Inventory は、Google Cloud アセット メタデータの 35 日間分の履歴を保持します。これには、5 週間分のアセットの作成、更新、削除の履歴が含まれます。過去 35 日間に既存のアセットが更新または削除されていない場合、Cloud Asset Inventory は最新の状態を維持します。

次のステップ

• Cloud Asset Inventory のクイックスタートを試して、アセットのエクスポートを開始する。