Servicios de inventario de recursos de VMware Engine

Inventario de Recursos de Cloud proporciona servicios de inventario basados en una base de datos de series temporales que te permite buscar, exportar y analizar metadatos de recursos asociados a los recursos incorporados. Inventario de Recursos de Cloud es un servicio de inventario totalmente gestionado en el que puedes controlar el acceso a los datos de Inventario de Recursos de Cloud hasta llegar al tipo de recurso y política. De este modo, puedes disfrutar de las ventajas de un inventario centralizado y aplicar el principio de privilegio mínimo cuando sea necesario.

Los recursos o activos clave de VMware Engine están disponibles a través de la API Cloud Asset y también mediante la interfaz de usuario de Cloud Asset Inventory, en la sección Identity and Access Management (Gestión de identidades y accesos) de tu consola de Google Cloud . Los recursos de la API Cloud Asset incluyen lo siguiente:

• PrivateCloud
• Clúster
• VMwareEngineNetwork
• NetworkPeering
• PrivateConnection
• NetworkPolicy
• ExternalAccessRule
• ExternalAddress

En el caso de estos recursos, la interfaz de usuario de Inventario de Recursos de Cloud y la API Cloud Asset permiten usar las siguientes funciones:

• Búsqueda y visibilidad: busca metadatos de recursos, incluidas las políticas de gestión de identidades y accesos asociadas, mediante un lenguaje de consulta personalizado.

  • SearchAllResources busca todos los recursos Google Cloud dentro del ámbito especificado, como un proyecto, una carpeta o una organización.
  • SearchAllIamPolicies busca todas las políticas de gestión de identidades y accesos dentro del ámbito especificado, como un proyecto, una carpeta o una organización.
  • ListAssets consulta una lista paginada de los recursos en una marca de tiempo determinada.
  • QueryAssets envía un trabajo que consulta recursos mediante una instrucción SQL compatible con BigQuery SQL.
  • Estas APIs también te permiten usar la búsqueda global en la consola para encontrar recursos de VMware Engine.Google Cloud Usa la barra de búsqueda global para buscar el nombre de cualquier recurso de VMware Engine que esté disponible a través de la API Cloud Asset. El recurso se muestra en la lista de resultados.

  Para buscar recursos de VMware Engine o políticas de gestión de identidades y accesos con la consola de Cloud Asset Inventory, haz lo siguiente:

  1. Ve a la página Inventario de recursos de la Google Cloud consola.

  Ir a Inventario de recursos

  1. Para definir el ámbito de la búsqueda, abre el cuadro de lista Proyectos en la barra de menú y, a continuación, selecciona la organización, la carpeta o el proyecto que quieras consultar.

  2. Selecciona la pestaña Recurso o Política de IAM.

  3. En Filtrar resultados, marca la casilla situada junto a los filtros que quieras.

  Los recursos o las políticas que coincidan con la consulta se mostrarán en la tabla Resultado.

  Para ver la consulta como un comando de Google Cloud CLI, selecciona Ver consulta.

  Para exportar los resultados, selecciona Descargar CSV.

• Monitorización y análisis: puede exportar todos los metadatos de los recursos en una marca de tiempo determinada o exportar el historial de cambios de eventos durante un periodo específico. Además, también puedes monitorizar los cambios en los recursos suscribiéndote a las notificaciones en tiempo real.

  • ExportAssets exporta recursos con marcas de tiempo y tipos de recursos a una ubicación de Cloud Storage o a una tabla de BigQuery determinadas.
  • BatchGetAssetsHistory obtiene en lote el historial de actualizaciones de los recursos que se superponen a un periodo.
  • Feed: un feed de recursos que se usa para exportar actualizaciones de recursos a un destino. Configura canales de Cloud Pub/Sub para obtener actualizaciones en tiempo real sobre los cambios de configuración de los recursos, reducir la frecuencia de las exportaciones y conseguir fácilmente una monitorización continua.

  Para analizar qué políticas de IAM tienen acceso a qué recursos Google Cloud con la consola de Cloud Asset Inventory, haz lo siguiente:

  1. En la Google Cloud consola, ve a la página Analizador de políticas.

     Ir a la página Analizador de políticas

  2. En la sección Analizar políticas, busque el panel Consulta personalizada y haga clic en Crear consulta personalizada.

  3. En el campo Seleccionar ámbito de la consulta, selecciona el proyecto, la carpeta o la organización en los que quieras acotar la consulta. Analizador de políticas analizará el acceso a ese proyecto, carpeta u organización, así como a los recursos que contenga.

  4. Elige el recurso que quieras comprobar y el rol o permiso que quieras consultar:

     1. En el campo Parámetro 1, seleccione Recurso en el menú desplegable.
     2. En el campo Resource (Recurso), introduce el nombre completo del recurso del que quieras analizar el acceso. Si no sabes el nombre completo del recurso, empieza a escribir el nombre visible del recurso y, a continuación, selecciona el recurso de la lista de recursos proporcionada.
     3. Haz clic en add Añadir selector.
     4. En el campo Parámetro 2, selecciona Rol o Permiso.
     5. En el campo Selecciona un rol o Selecciona un permiso, selecciona el rol o el permiso que quieras comprobar.
     6. Opcional: Para buscar roles y permisos adicionales, sigue añadiendo selectores de Rol y Permiso hasta que se muestren todos los roles y permisos que quieras comprobar.

  5. Opcional: Haz clic en Continuar y, a continuación, selecciona las opciones avanzadas que quieras habilitar para esta consulta.

  6. En el panel Consulta personalizada, haga clic en Analizar > Ejecutar consulta. En la página del informe se muestran los parámetros de consulta que ha introducido y una tabla de resultados con todas las entidades que tienen los roles o permisos especificados en el recurso indicado.

  Las consultas de análisis de políticas de la consola Google Cloud se ejecutan durante un minuto como máximo. Al cabo de un minuto, la consola de Google Cloud detiene la consulta y muestra todos los resultados disponibles. Si la consulta no se completa en ese tiempo, la consola Google Cloud muestra un banner que indica que los resultados están incompletos. Para obtener más resultados de estas consultas, exporte los resultados a BigQuery.

• Análisis de políticas de gestión de identidades y accesos: analiza las APIs de políticas para saber quién tiene acceso a qué.

  • AnalyzeIamPolicy analiza las políticas de gestión de identidades y accesos para determinar qué identidades tienen acceso a qué recursos.
  • AnalyzeIamPolicyLongrunning analiza las políticas de IAM de forma asíncrona para determinar qué identidades tienen acceso a qué recursos y escribe los resultados del análisis en un destino de Cloud Storage o BigQuery.

Siguientes pasos

• Consulta la lista de recursos disponibles mediante Inventario de Recursos de Cloud y busca VMware.
• Consulta más información sobre lo que puedes hacer con Inventario de Recursos de Cloud.