Asset-Inventardienste für VMware Engine

Cloud Asset Inventory bietet Inventardienste auf Basis einer Zeitreihen-Datenbank, mit denen Sie Asset-Metadaten, die mit den eingebundenen Ressourcen verknüpft sind, suchen, exportieren und analysieren können. Cloud Asset Inventory ist ein vollständig verwalteter Inventardienst, mit dem Sie den Zugriff auf Cloud Asset Inventory-Daten bis hin zu einzelnen Ressourcen- und Richtlinientypen steuern können. So profitieren Sie von der Leistung eines zentralisierten Inventars und können bei Bedarf den Grundsatz der geringsten Berechtigung einhalten.

Wichtige VMware Engine-Ressourcen oder ‐Assets sind über die Cloud Asset API und sind auch über die Cloud Asset Inventory-UI unter Identity and Access Management (IAM) in der Google Cloud Console. Zu den Cloud Asset API-Ressourcen gehören:

• PrivateCloud
• Cluster
• VMwareEngineNetwork
• NetworkPeering
• PrivateConnection
• NetworkPolicy
• ExternalAccessRule
• ExternalAddress

Für diese Ressourcen aktivieren die Cloud Asset Inventory-UI und die Cloud Asset API die die folgenden Funktionen:

• Suche und Sichtbarkeit:Such-Asset-Metadaten, einschließlich Mit einer benutzerdefinierten Abfrage verknüpfte IAM-Richtlinien Sprache.

  • SearchAllResources: Durchsucht die gesamte Google Cloud Ressourcen innerhalb des angegebenen Bereichs, z. B. Projekt, Ordner oder Unternehmen.
  • SearchAllIamPolicies: Sucht in allen IAM-Richtlinien innerhalb des angegebenen Bereichs, z. B. Projekt, Ordner oder Organisation.
  • ListAssets: Zeigt eine paginierte Liste der Assets unter einem bestimmten Zeitstempel an.
  • QueryAssets: Hiermit wird ein Job ausgeführt, bei dem Assets mit einer BigQuery-SQL-kompatiblen SQL-Anweisung abgefragt werden.
  • Mit diesen APIs können Sie auch die globale Suche in der Google Cloud Console verwenden, um VMware Engine-Ressourcen zu finden. Verwenden Sie die globale Suchleiste, um nach dem Namen einer VMware Engine-Ressource zu suchen, die über die Cloud Asset API verfügbar ist. Die Ressource wird in der Ergebnisliste angezeigt.

  So suchen Sie mit der Cloud Asset Inventory Console nach VMware Engine-Ressourcen oder IAM-Richtlinien:

  1. Rufen Sie in der Google Cloud Console die Seite Asset Inventory auf.

  Zu Asset Inventory

  1. Um den Umfang der Suche festzulegen, öffnen Sie das Listenfeld "Projekte" in der Menüleiste und wählen Sie die abzufragende Organisation, den Ordner oder das Projekt aus.

  2. Wählen Sie den Tab Ressource oder IAM-Richtlinie aus.

  3. Klicken Sie unter Ergebnisse filtern das Kästchen neben den ausgewählten Filtern an.

  Die mit der Abfrage übereinstimmenden Ressourcen oder Richtlinien werden im Result (Ergebnis) aufgeführt. .

  Wenn Sie die Abfrage als Google Cloud CLI-Befehl ansehen möchten, wählen Sie Abfrage ansehen aus.

  Wählen Sie zum Exportieren der Ergebnisse CSV-Datei herunterladen aus.

• Monitoring und Analyse: Sie können alle Asset-Metadaten mit einem bestimmten Zeitstempel oder den Änderungsverlauf für einen bestimmten Zeitraum exportieren. Außerdem können Sie Asset-Änderungen überwachen, indem Sie Echtzeitbenachrichtigungen abonnieren.

  • ExportAssets: Exportiert Assets zusammen mit Zeit und Ressource zu einem bestimmten Cloud Storage-Speicherort oder einer bestimmten BigQuery-Tabelle hinzufügen.
  • BatchGetAssetsHistory: Hiermit wird der Aktualisierungsverlauf von Assets abgerufen, die sich über ein Zeitfenster erstrecken.
  • Feed: Ein Asset-Feed, mit dem Asset-Aktualisierungen in ein Ziel. Cloud Pub/Sub-Kanäle einrichten, um Echtzeitaktualisierungen zu erhalten Asset-Konfiguration ändern, die Häufigkeit von Exporten verringern und kontinuierliches Monitoring zu erreichen.

  So analysieren Sie mit der Cloud Asset Inventory Console, welche IAM-Richtlinien Zugriff auf welche Google Cloud-Ressourcen haben:

  1. Rufen Sie in der Google Cloud Console das Policy Analyzer auf. Seite.

     Zur Seite „Policy Analyzer“

  2. Suchen Sie im Abschnitt Richtlinien analysieren den Bereich Benutzerdefiniert. Abfrage und klicken Sie in diesem Bereich auf Benutzerdefinierte Abfrage erstellen.

  3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

  4. Wählen Sie die zu prüfende Ressource und die zu prüfende Rolle oder Berechtigung aus:

     1. Wählen Sie im Feld Parameter 1 aus dem Drop-down-Menü die Option Ressource aus.
     2. Geben Sie im Feld Ressource den vollständigen Ressourcennamen der Ressource ein, für die Sie den Zugriff analysieren möchten. Wenn Sie den vollständigen Ressourcennamen nicht kennen, beginnen Sie mit der Eingabe des Anzeigenamens der Ressource und wählen Sie die Ressource aus der Liste der bereitgestellten Ressourcen aus.
     3. Klicken Sie auf add Auswahl hinzufügen.
     4. Wählen Sie im Feld Parameter 2 entweder Rolle oder Berechtigung aus.
     5. Wählen Sie im Feld Rolle auswählen oder Berechtigung auswählen die Rolle oder Berechtigung aus, die Sie prüfen möchten.
     6. Optional: Um nach zusätzlichen Rollen und Berechtigungen zu suchen, fügen Sie weitere Rollen und Berechtigungen hinzu, bis alle Rollen und Berechtigungen aufgeführt sind, die Sie prüfen möchten. abgeschlossen.

  5. Optional: Klicken Sie auf Weiter und wählen Sie alle erweiterten Optionen aus, die Sie für diese Abfrage aktivieren möchten.

  6. Klicken Sie im Bereich Benutzerdefinierte Abfrage auf Analysieren > Ausführen. Abfrage. Auf der Seite „Berichte“ werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle aller Hauptkonten mit den angegebenen Rollen oder Berechtigungen für die angegebene Ressource angezeigt.

  Richtlinienanalyseabfragen in der Google Cloud Console dauern bis zu einer Minute. Nach einer Minute beendet die Google Cloud Console die Abfrage und zeigt alle verfügbaren Ergebnisse an. Wenn die Abfrage in diesem Zeitraum nicht abgeschlossen wurde, wird in der Google Cloud Console Banner, das darauf hinweist, dass die Ergebnisse unvollständig sind Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, exportieren Sie die Ergebnisse nach BigQuery.

• IAM-Richtlinienanalyse: Richtlinien-APIs analysieren, um herauszufinden, wer Zugriff auf welche Daten hat.

  • AnalyzeIamPolicy: Hiermit werden IAM-Richtlinien analysiert, um herauszufinden, welche Identitäten welchen Zugriff auf welche Ressourcen haben.
  • AnalyzeIamPolicyLongrunning: Analyse IAM-Richtlinien asynchron beantworten, um zu ermitteln, welche Identitäten hat, was auf welche Ressourcen zugreift und die Analyseergebnisse schreibt. an ein Cloud Storage- oder BigQuery-Ziel.

Nächste Schritte

• Suchen Sie die Liste der mit Cloud Asset Inventory verfügbare Ressourcen und und suchen Sie nach VMware.
• Weitere Informationen zu Cloud Asset Inventory