Servicios de inventario de recursos para VMware Engine

Cloud Asset Inventory proporciona servicios de inventario basados en una base de datos de series temporales que te permiten buscar, exportar y analizar los metadatos de activos asociados con los recursos incorporados. Cloud Asset Inventory es un servicio de inventario completamente administrado donde puedes controlar el acceso a los datos de Cloud Asset Inventory a cada recurso y tipo de política. Esto te permite beneficiarte del poder de una de tu inventario y lograr el privilegio mínimo cuando sea necesario.

Los recursos o elementos clave de VMware Engine están disponibles a través del API de Cloud Asset y también están disponibles a través de la IU de Cloud Asset Inventory en Identity and Access Management en la consola de Google Cloud. Los recursos de la API de Cloud Asset incluyen lo siguiente:

• PrivateCloud
• Clúster
• VMwareEngineNetwork
• NetworkPeering
• PrivateConnection
• NetworkPolicy
• ExternalAccessRule
• ExternalAddress

Para estos recursos, la IU de Cloud Asset Inventory y la API de Cloud Asset habilitan las siguientes funciones:

• Búsqueda y visibilidad: Busca los metadatos de recursos, incluidos los siguientes: las políticas de IAM asociadas a través de una consulta personalizada idioma.

  • SearchAllResources: Busca en todo Google Cloud. recursos dentro del permiso especificado, como el proyecto, la carpeta o organización.
  • SearchAllIamPolicies: Busca todas las políticas de IAM dentro del alcance especificado, como el proyecto, la carpeta o la organización.
  • ListAssets: Visualiza una lista paginada de los activos en una marca de tiempo determinada.
  • QueryAssets: Emite un trabajo que consulte los activos con una instrucción SQL compatible con BigQuery SQL.
  • Estas APIs también te permiten usar la Búsqueda global en la console de Google Cloud para encontrar recursos de VMware Engine. Usa la barra de búsqueda global para buscar el nombre de cualquier recurso de VMware Engine que esté disponible a través de la API de Cloud Asset. El recurso se muestra en la lista de resultados.

  Para buscar recursos de VMware Engine o políticas de IAM con la consola de Cloud Asset Inventory, haz lo siguiente:

  1. Ve a la página Asset Inventory en la consola de Google Cloud.

  Ir al Inventario de recursos

  1. Para establecer el permiso de tu búsqueda, abre el cuadro de lista Proyectos en la barra de menú y, luego, selecciona la organización, la carpeta o el proyecto que deseas consultar.

  2. Selecciona la pestaña Recurso o Política de IAM.

  3. En Filtrar resultados, marca la casilla junto a los filtros elegidos.

  Los recursos o las políticas que coinciden con la consulta se enumeran en la tabla Resultado.

  Para ver la consulta como un comando de Google Cloud CLI, selecciona Ver consulta.

  Para exportar los resultados, selecciona Descargar CSV.

• Supervisión y análisis: Puedes exportar todos los metadatos de los activos en una marca de tiempo determinada o exportar el historial de cambios de eventos durante un período específico. Además, también puedes suscribirte a notificaciones en tiempo real para supervisar los cambios de los activos.

  • ExportAssets: Exporta recursos con tipos de tiempo y recursos a una ubicación de Cloud Storage o una tabla de BigQuery determinadas.
  • BatchGetAssetsHistory: Batch obtiene el historial de actualizaciones de los activos que se superponen en un período.
  • Feed: Es un feed de activos que se usa para exportar actualizaciones de activos a un destino. Configura los canales de Cloud Pub/Sub para obtener actualizaciones en tiempo real sobre en la configuración de los recursos, disminuir la frecuencia de las exportaciones lograr una supervisión continua.

  Para analizar qué políticas de IAM tienen acceso a qué recursos de Google Cloud con la consola de Cloud Asset Inventory, haz lo siguiente:

  1. En la consola de Google Cloud, ve al Analizador de políticas. .

     Ir a la página Analizador de políticas

  2. En la sección Analyze policies, busca el panel etiquetado Custom consulta y haz clic en Crear consulta personalizada en ese panel.

  3. En el campo Seleccionar el alcance de la consulta, selecciona el proyecto, la carpeta o la organización a los que deseas limitar el alcance de la consulta. El Analizador de políticas analizará el acceso a ese proyecto, carpeta o organización, así como cualquier recurso dentro de ese proyecto, carpeta o organización.

  4. Elige el recurso que deseas verificar y la función o el permiso que deseas verificar:

     1. En el campo Parámetro 1, selecciona Recurso en el menú desplegable.
     2. En el campo Recurso, ingresa el nombre completo del recurso del que deseas analizar el acceso. Si no conoces el nombre completo del recurso, comienza a escribir su nombre visible y, luego, selecciónalo en la lista de recursos proporcionados.
     3. Haz clic en add Agregar selector.
     4. En el campo Parámetro 2, selecciona Función o Permiso.
     5. En el campo Selecciona una función o Selecciona un permiso, selecciona la función o el permiso que deseas verificar.
     6. Opcional: Para comprobar las funciones y los permisos adicionales, continúa agregando selectores de Función y Permiso hasta que aparezcan todas las funciones y los permisos que deseas verificar.

  5. Opcional: Haz clic en Continuar y, luego, selecciona las opciones avanzadas que deseas habilitar para esta consulta.

  6. En el panel Consulta personalizada, haz clic en Analizar > Ejecutar consulta. La página del informe muestra los parámetros de consulta que ingresaste y un Tabla de resultados de todas las principales con los roles o permisos especificados en el recurso especificado.

  Las consultas de análisis de políticas en la consola de Google Cloud se ejecutan durante un máximo de un minuto. Después de un minuto, la consola de Google Cloud detiene la consulta y muestra todos los resultados disponibles. Si la consulta no finalizó en ese tiempo, la consola de Google Cloud mostrará un banner que indica que los resultados están incompletos. Para obtener más resultados para estas consultas, exporta los resultados a BigQuery.

• Análisis de políticas de IAM: Analiza las APIs de políticas para encontrar quién tiene acceso a qué.

  • AnalyzeIamPolicy: Analiza las políticas de IAM para responder qué identidades tienen qué accesos en qué recursos.
  • AnalyzeIamPolicyLongrunning: Analiza las políticas de IAM de forma asíncrona para responder qué identidades tienen qué accesos a qué recursos y escribe los resultados del análisis en un destino de Cloud Storage o BigQuery.

¿Qué sigue?

• Busca la lista de recursos disponibles con Cloud Asset Inventory y busca VMware.
• Obtén más información sobre lo que puedes hacer con Cloud Asset Inventory.