Servicios de inventario de activos para VMware Engine

Cloud Asset Inventory proporciona servicios de inventario basados en una base de datos de series temporales que te permiten buscar, exportar y analizar los metadatos de activos asociados con los recursos integrados. Cloud Asset Inventory es un servicio de inventario completamente administrado en el que puedes controlar el acceso a los datos de Cloud Asset Inventory para cada tipo de política y recurso. Esto te permite beneficiarte de la potencia de un inventario centralizado y también alcanzar privilegio mínimo cuando sea necesario.

Los recursos o activos clave de VMware Engine están disponibles a través de la API de Cloud Asset y también a través de la IU de Cloud Asset Inventory en Identity and Access Management de la consola de Google Cloud. Los recursos de la API de Cloud Asset incluyen los siguientes:

• PrivateCloud
• Clúster
• VMwareEngineNetwork
• NetworkPeering
• PrivateConnection
• NetworkPolicy
• ExternalAccessRule
• ExternalAddress

Para estos recursos, la IU de Cloud Asset Inventory y la API de Cloud Asset habilitan las siguientes funciones:

• Búsqueda y visibilidad: Busca metadatos de activos, incluidas las políticas de IAM asociadas, con un lenguaje de consulta personalizado.

  • SearchAllResources: Busca todos los recursos Google Clouddentro del alcance especificado, como un proyecto, una carpeta o una organización.
  • SearchAllIamPolicies: Busca todas las políticas de IAM dentro del alcance especificado, como el proyecto, la carpeta o la organización.
  • ListAssets: Visualiza una lista paginada de los activos en una marca de tiempo determinada.
  • QueryAssets: Emite un trabajo que consulte los activos con una instrucción de SQL compatible con BigQuery SQL.
  • Estas APIs también te permiten usar la Búsqueda global en la consola de Google Cloud para encontrar recursos de VMware Engine. Usa la barra de búsqueda global para buscar el nombre de cualquier recurso de VMware Engine que esté disponible a través de la API de Cloud Asset. El recurso se muestra en la lista de resultados.

  Para buscar recursos de VMware Engine o políticas de IAM con la consola de Cloud Asset Inventory, haz lo siguiente:

  1. Ve a la página Inventario en la consola de Google Cloud.

  Ir a Asset Inventory

  1. Para establecer el permiso de tu búsqueda, abre el cuadro de lista Proyectos en la barra de menú y, luego, selecciona la organización, la carpeta o el proyecto que deseas consultar.

  2. Selecciona la pestaña Recurso o Política de IAM.

  3. En Filtrar resultados, marca la casilla junto a los filtros elegidos.

  Los recursos o las políticas que coinciden con la consulta se enumeran en la tabla Resultado.

  Para ver la consulta como un comando de Google Cloud CLI, selecciona Ver consulta.

  Para exportar los resultados, selecciona Descargar CSV.

• Supervisión y análisis: Puedes exportar todos los metadatos de los activos en una marca de tiempo determinada o exportar el historial de cambios de eventos durante un período específico. Además, también puedes suscribirte a notificaciones en tiempo real para supervisar los cambios de los activos.

  • ExportAssets: Exporta recursos con tipos de tiempo y recursos a una ubicación de Cloud Storage o una tabla de BigQuery determinadas.
  • BatchGetAssetsHistory: Batch obtiene el historial de actualizaciones de los activos que se superponen en un período.
  • Feed: Es un feed de activos que se usa para exportar actualizaciones de activos a un destino. Configura los canales de Cloud Pub/Sub para recibir actualizaciones en tiempo real sobre cualquier cambio de configuración de los elementos, reducir la frecuencia de las exportaciones y lograr fácilmente la supervisión continua.

  Para analizar qué políticas de IAM tienen acceso a qué recursos de Google Cloud con la consola de Cloud Asset Inventory, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Analizador de políticas.

     Ir a la página del Analizador de políticas

  2. En la sección Analiza las políticas, busca el panel etiquetado como Consulta personalizada y haz clic en Crear consulta personalizada en ese panel.

  3. En el campo Seleccionar el alcance de la consulta, selecciona el proyecto, la carpeta o la organización a los que deseas limitar el alcance de la consulta. El Analizador de políticas analizará el acceso a ese proyecto, carpeta o organización, así como cualquier recurso dentro de ese proyecto, carpeta o organización.

  4. Elige el recurso que deseas verificar y la función o el permiso que deseas verificar:

     1. En el campo Parámetro 1, selecciona Recurso en el menú desplegable.
     2. En el campo Recurso, ingresa el nombre completo del recurso del que deseas analizar el acceso. Si no conoces el nombre completo del recurso, comienza a escribir su nombre visible y, luego, selecciónalo en la lista de recursos proporcionados.
     3. Haz clic en add Agregar selector.
     4. En el campo Parámetro 2, selecciona Función o Permiso.
     5. En el campo Selecciona una función o Selecciona un permiso, selecciona la función o el permiso que deseas verificar.
     6. Opcional: Para comprobar las funciones y los permisos adicionales, continúa agregando selectores de Función y Permiso hasta que aparezcan todas las funciones y los permisos que deseas verificar.

  5. Opcional: Haz clic en Continuar y, luego, selecciona las opciones avanzadas que deseas habilitar para esta consulta.

  6. En el panel Consulta personalizada, haz clic en Analizar > Ejecutar consulta. La página de informes muestra los parámetros de búsqueda que ingresaste y una tabla de resultados de todas las principales con las funciones o permisos indicados en el recurso especificado.

  Las consultas de análisis de políticas en la consola de Google Cloud se ejecutan hasta por un minuto. Después de un minuto, la consola de Google Cloud detiene la consulta y muestra todos los resultados disponibles. Si la consulta no finalizó en ese tiempo, la consola de Google Cloud mostrará un banner que indica que los resultados están incompletos. Para obtener más resultados para estas consultas, exporta los resultados a BigQuery.

• Análisis de políticas de IAM: Analiza las APIs de políticas para descubrir quién tiene acceso a qué.

  • AnalyzeIamPolicy: Analiza las políticas de IAM para responder qué identidades tienen qué accesos en qué recursos.
  • AnalyzeIamPolicyLongrunning: Analiza las políticas de IAM de forma asíncrona para responder qué identidades tienen qué accesos a qué recursos y escribe los resultados del análisis en un destino de Cloud Storage o BigQuery.

¿Qué sigue?

• Busca la lista de recursos disponibles con Cloud Asset Inventory y busca VMware.
• Obtén más información sobre lo que puedes hacer con Cloud Asset Inventory.