Services d'inventaire d'éléments pour VMware Engine

Inventaire des éléments cloud fournit des services d'inventaire basés sur une base de données de séries temporelles vous permet de rechercher, d'exporter et d'analyser les métadonnées d'éléments associées aux de ressources intégrées. Inventaire des éléments cloud est un service d'inventaire entièrement géré où vous pouvez contrôler l'accès aux données d'inventaire des éléments cloud ressource et type de règle. Vous profitez ainsi du potentiel d'un inventaire centralisé tout en ayant la possibilité d'appliquer le principe du moindre privilège en cas de besoin.

Les ressources ou éléments clés de VMware Engine sont disponibles via le API Cloud Asset. Elles sont également disponibles via l'UI Cloud Asset Inventory sous Identity and Access Management dans la console Google Cloud. Les ressources de l'API Cloud Asset incluent:

• PrivateCloud
• Cluster
• VMwareEngineNetwork
• NetworkPeering
• PrivateConnection
• NetworkPolicy
• ExternalAccessRule
• ExternalAddress

Pour ces ressources, l'interface utilisateur Cloud Asset Inventory et l'API Cloud Asset activent caractéristiques suivantes:

• Recherche et visibilité:recherchez les métadonnées des éléments, y compris Stratégies IAM qui y sont associées à l'aide d'une requête personnalisée langue.

  • SearchAllResources: effectue une recherche dans l'ensemble des ressources Google Cloud les ressources comprises dans le champ d'application spécifié, telles qu'un projet, un dossier ou organisation.
  • SearchAllIamPolicies: recherche dans tout les stratégies IAM du champ d'application spécifié, telles que "project", dossier ou organisation.
  • ListAssets: affichez la liste paginée des éléments au niveau à un horodatage donné.
  • QueryAssets: émettez une tâche qui interroge les éléments à l'aide d'un Instruction SQL compatible avec BigQuery SQL.
  • Ces API vous permettent également d'utiliser la recherche globale dans la console Google Cloud pour rechercher des ressources VMware Engine. Utilisez la barre de recherche globale pour rechercher le nom de toute ressource VMware Engine disponible via l'API Cloud Asset. La ressource s'affiche dans la liste des résultats.

  Pour rechercher des ressources VMware Engine ou des stratégies IAM à l'aide de la console inventaire des éléments cloud, procédez comme suit:

  1. Accédez à la page Inventaire des éléments de la console Google Cloud.

  Accéder à l'inventaire des éléments

  1. Pour définir le champ d'application de votre recherche, ouvrez la liste des projets dans la barre de menu, puis sélectionnez l'organisation, le dossier ou le projet à interroger.

  2. Sélectionnez l'onglet Ressource ou Stratégie IAM.

  3. Cochez la case à côté des filtres de votre choix sous Filtrer les résultats.

  Les ressources ou stratégies correspondant à la requête sont répertoriées dans la section Result (Résultat). tableau.

  Pour afficher la requête sous la forme d'une commande Google Cloud CLI, sélectionnez Afficher la requête.

  Pour exporter les résultats, sélectionnez Télécharger au format CSV.

• Surveillance et analyse:vous pouvez exporter toutes les métadonnées d'éléments à un rythme ou d'exporter l'historique des modifications d'événements pendant une période spécifique. De plus, vous pouvez également surveiller les modifications d'éléments en vous abonnant aux notifications en temps réel.

  • ExportAssets: exporte les composants avec le temps et les ressources. vers un emplacement Cloud Storage ou une table BigQuery donnés.
  • BatchGetAssetsHistory: obtient la mise à jour par lot. l'historique des éléments qui chevauchent une période.
  • Flux: flux d'éléments utilisé pour exporter les mises à jour d'éléments vers un vers votre destination. Configurez des canaux Cloud Pub/Sub pour obtenir des informations en temps réel sur toute modification de configuration des éléments, réduire la fréquence des exportations et assurer une surveillance continue.

  Pour analyser quelles stratégies IAM ont accès à quelles des ressources Google Cloud à l'aide de la console inventaire des éléments cloud, suivantes:

  1. Dans la console Google Cloud, accédez à Policy Analyzer. .

     Accéder à la page Policy Analyzer

  2. Dans la section Analyser les règles, recherchez le volet intitulé Requête personnalisée, puis cliquez sur Créer une requête personnalisée dans ce volet.

  3. Dans le champ Sélectionner le champ d'application de la requête, sélectionnez le projet, le dossier ou l'organisation auquel vous souhaitez appliquer la requête. Policy Analyzer analyse l'accès pour ce projet, ce dossier ou organisation, ainsi que toutes les ressources de ce projet, dossier ou une organisation.

  4. Choisissez la ressource à vérifier, ainsi que le rôle ou l'autorisation à vérifier :

     1. Dans le champ Paramètre  1, sélectionnez Ressource dans le menu déroulant.
     2. Dans le champ Ressource, saisissez le nom complet de la ressource pour laquelle vous souhaitez analyser l'accès. Si vous ne connaissez pas le nom complet de la ressource, commencez à saisir le nom à afficher de la ressource, puis sélectionnez-la dans la liste des ressources fournies.
     3. Cliquez sur add Ajouter un sélecteur.
     4. Dans le champ Paramètre 2, sélectionnez Rôle ou Autorisation.
     5. Dans le champ Sélectionner un rôle ou Sélectionner une autorisation, sélectionnez le rôle ou l'autorisation que vous souhaitez vérifier.
     6. Facultatif : Pour vérifier les rôles et autorisations supplémentaires, continuez à ajouter des sélecteurs Rôle et Autorisation jusqu'à ce que tous les rôles et autorisations que vous souhaitez vérifier soient répertoriés.

  5. Facultatif : Cliquez sur Continuer, puis sélectionnez les options avancées que vous souhaitez activer pour cette requête.

  6. Dans le volet Requête personnalisée, cliquez sur Analyser > Exécuter. requête. La page du rapport affiche les paramètres de requête que vous avez saisis, ainsi qu'une table de résultats de tous les comptes principaux disposant des rôles ou autorisations spécifiés sur la ressource spécifiée.

  Les requêtes d'analyse des règles dans la console Google Cloud s'exécutent pendant une minute au maximum. Au bout d'une minute, la console Google Cloud arrête la requête et affiche tous les résultats disponibles. Si la requête n'est pas terminée au bout de ce délai, la console Google Cloud affiche une bannière indiquant que les résultats sont incomplets. Pour obtenir plus de résultats pour ces requêtes, exporter le les résultats dans BigQuery.

• Analyse des stratégies IAM : analysez les API de stratégie pour savoir qui a accès à quoi.

  • AnalyzeIamPolicy: analyse IAM pour déterminer quelles identités disposent de quels accès ressources.
  • AnalyzeIamPolicyLongrunning : analyse de manière asynchrone les stratégies IAM pour déterminer quelles identités ont accès à quelles ressources et écrit les résultats de l'analyse dans une destination Cloud Storage ou BigQuery.

Étape suivante

• Recherchez la liste ressources disponibles à l'aide de l'inventaire des éléments cloud recherchez VMware.
• Découvrez tout ce que vous pouvez faire avec l'inventaire des éléments cloud.