Asset-Inventarisierungsdienste für VMware Engine

Cloud Asset Inventory bietet Inventardienste auf Basis einer Zeitreihen-Datenbank, mit denen Sie Asset-Metadaten, die mit den eingebundenen Ressourcen verknüpft sind, suchen, exportieren und analysieren können. Cloud Asset Inventory ist ein vollständig verwalteter Inventardienst, mit dem Sie den Zugriff auf Cloud Asset Inventory-Daten bis hin zu einzelnen Ressourcen- und Richtlinientypen steuern können. So profitieren Sie von der Leistung eines zentralisierten Inventars und können bei Bedarf den Grundsatz der geringsten Berechtigung einhalten.

Wichtige VMware Engine-Ressourcen oder -Assets sind über die Cloud Asset API und über die Benutzeroberfläche des Cloud Asset Inventory unter „Identity and Access Management“ (Identität und Zugriffsverwaltung) in der Google Cloud Console verfügbar. Zu den Cloud Asset API-Ressourcen gehören:

Für diese Ressourcen sind über die Cloud Asset Inventory-Benutzeroberfläche und die Cloud Asset API die folgenden Funktionen verfügbar:

  • Suche und Sichtbarkeit:Mithilfe einer benutzerdefinierten Abfragesprache können Sie Asset-Metadaten, einschließlich der zugehörigen IAM-Richtlinien, durchsuchen.

    • SearchAllResources: Es wird nach allen Google Cloud-Ressourcen im angegebenen Bereich gesucht, z. B. nach Projekt, Ordner oder Organisation.
    • SearchAllIamPolicies: Es wird in allen IAM-Richtlinien im angegebenen Bereich gesucht, z. B. in einem Projekt, Ordner oder einer Organisation.
    • ListAssets: Zeigt eine paginierte Liste der Assets unter einem bestimmten Zeitstempel an.
    • QueryAssets: Hiermit wird ein Job ausgeführt, bei dem Assets mit einer BigQuery-SQL-kompatiblen SQL-Anweisung abgefragt werden.
    • Mit diesen APIs können Sie auch die globale Suche in der Google Cloud Console verwenden, um VMware Engine-Ressourcen zu finden. Verwenden Sie die globale Suchleiste, um nach dem Namen einer VMware Engine-Ressource zu suchen, die über die Cloud Asset API verfügbar ist. Die Ressource wird in der Ergebnisliste angezeigt.

    So suchen Sie mit der Cloud Asset Inventory Console nach VMware Engine-Ressourcen oder IAM-Richtlinien:

    1. Rufen Sie in der Google Cloud Console die Seite Asset Inventory auf.

    Zu Asset Inventory

    1. Um den Umfang der Suche festzulegen, öffnen Sie das Listenfeld "Projekte" in der Menüleiste und wählen Sie die abzufragende Organisation, den Ordner oder das Projekt aus.

    2. Wählen Sie den Tab Ressource oder IAM-Richtlinie aus.

    3. Setzen Sie bei Ergebnisse filtern ein Häkchen in die Kästchen neben den ausgewählten Filtern.

    Die mit der Abfrage übereinstimmenden Ressourcen oder Richtlinien werden in der Tabelle Ergebnis aufgeführt.

    Wenn Sie die Abfrage als Google Cloud CLI-Befehl anzeigen möchten, wählen Sie Abfrage anzeigen aus.

    Wählen Sie zum Exportieren der Ergebnisse CSV-Datei herunterladen aus.

  • Monitoring und Analyse:Sie können alle Asset-Metadaten mit einem bestimmten Zeitstempel oder den Änderungsverlauf für einen bestimmten Zeitraum exportieren. Außerdem können Sie Asset-Änderungen überwachen, indem Sie Echtzeitbenachrichtigungen abonnieren.

    • ExportAssets: Hiermit werden Assets mit Zeit- und Ressourcentypen an einen bestimmten Cloud Storage-Speicherort oder in eine BigQuery-Tabelle exportiert.
    • BatchGetAssetsHistory: Hiermit wird der Aktualisierungsverlauf von Assets abgerufen, die sich über ein Zeitfenster erstrecken.
    • Feed: Ein Asset-Feed, mit dem Asset-Änderungen an ein Ziel exportiert werden. Richten Sie Cloud Pub/Sub-Kanäle ein, um Echtzeitaktualisierungen zu Asset-Konfigurationsänderungen zu erhalten, weniger Exporte machen zu müssen und einfach kontinuierliches Monitoring zu ermöglichen.

    So analysieren Sie mit der Cloud Asset Inventory Console, welche IAM-Richtlinien Zugriff auf welche Google Cloud -Ressourcen haben:

    1. Rufen Sie in der Google Cloud Console die Seite Richtlinienanalyse auf.

      Zur Seite „Richtlinienanalyse“

    2. Klicken Sie im Bereich Richtlinien analysieren auf den Bereich Benutzerdefinierte Abfrage und dann auf Benutzerdefinierte Abfrage erstellen.

    3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

    4. Wählen Sie die zu prüfende Ressource und die zu prüfende Rolle oder Berechtigung aus:

      1. Wählen Sie im Feld Parameter 1 aus dem Drop-down-Menü die Option Ressource aus.
      2. Geben Sie im Feld Ressource den vollständigen Ressourcennamen der Ressource ein, für die Sie den Zugriff analysieren möchten. Wenn Sie den vollständigen Ressourcennamen nicht kennen, beginnen Sie mit der Eingabe des Anzeigenamens der Ressource und wählen Sie die Ressource aus der Liste der bereitgestellten Ressourcen aus.
      3. Klicken Sie auf Auswahl hinzufügen.
      4. Wählen Sie im Feld Parameter 2 entweder Rolle oder Berechtigung aus.
      5. Wählen Sie im Feld Rolle auswählen oder Berechtigung auswählen die Rolle oder Berechtigung aus, die Sie prüfen möchten.
      6. Optional: Um nach zusätzlichen Rollen und Berechtigungen zu suchen, fügen Sie weitere Rollen und Berechtigungen hinzu, bis alle Rollen und Berechtigungen aufgeführt sind, die Sie prüfen möchten. abgeschlossen.
    5. Optional: Klicken Sie auf Weiter und wählen Sie alle erweiterten Optionen aus, die Sie für diese Abfrage aktivieren möchten.

    6. Klicken Sie im Bereich Benutzerdefinierte Abfrage auf Analysieren > Abfrage ausführen. Auf der Seite „Berichte“ werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle aller Hauptkonten mit den angegebenen Rollen oder Berechtigungen für die angegebene Ressource angezeigt.

    Richtlinienanalyseabfragen in der Google Cloud Console dauern bis zu einer Minute. Nach einer Minute beendet die Google Cloud Console die Abfrage und zeigt alle verfügbaren Ergebnisse an. Wenn die Abfrage nicht innerhalb dieses Zeitraums abgeschlossen ist, wird in der Google Cloud Console ein Banner angezeigt, das darauf hinweist, dass die Ergebnisse unvollständig sind. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, exportieren Sie die Ergebnisse nach BigQuery.

  • IAM-Richtlinienanalyse: Richtlinien-APIs analysieren, um herauszufinden, wer Zugriff auf welche Daten hat.

    • AnalyzeIamPolicy: Hiermit werden IAM-Richtlinien analysiert, um herauszufinden, welche Identitäten welchen Zugriff auf welche Ressourcen haben.
    • AnalyzeIamPolicyLongrunning: Hiermit werden IAM-Richtlinien asynchron analysiert, um zu ermitteln, welche Identitäten Zugriff auf welche Ressourcen haben. Die Analyseergebnisse werden in ein Cloud Storage- oder BigQuery-Ziel geschrieben.

Nächste Schritte