Services d'inventaire des ressources pour VMware Engine

Inventaire des éléments cloud fournit des services d'inventaire basés sur une base de données de séries temporelles qui vous permettent de rechercher, d'exporter et d'analyser les métadonnées des éléments associées aux ressources intégrées. L'inventaire des éléments cloud est un service d'inventaire entièrement géré qui vous permet de contrôler l'accès aux données de l'inventaire des éléments cloud jusqu'à la moindre ressource et au moindre type de stratégie. Vous profitez ainsi du potentiel d'un inventaire centralisé tout en ayant la possibilité d'appliquer le principe du moindre privilège en cas de besoin.

Les principales ressources ou éléments VMware Engine sont disponibles via l'API Cloud Asset et également via l'UI Cloud Asset Inventory sous "Identity and Access Management" (Identité et gestion des accès) dans la console Google Cloud. Les ressources de l'API Cloud Asset incluent les éléments suivants:

• PrivateCloud
• Cluster
• VMwareEngineNetwork
• NetworkPeering
• PrivateConnection
• NetworkPolicy
• ExternalAccessRule
• ExternalAddress

Pour ces ressources, l'UI Cloud Asset Inventory et l'API Cloud Asset permettent les fonctionnalités suivantes:

• Recherche et visibilité:recherchez les métadonnées des composants, y compris les stratégies IAM qui y sont associées, à l'aide d'un langage de requête personnalisé.

  • SearchAllResources: recherche toutes les ressources Google Clouddans le champ d'application spécifié, tel qu'un projet, un dossier ou une organisation.
  • SearchAllIamPolicies: recherche toutes les stratégies IAM dans le champ d'application spécifié, tel qu'un projet, un dossier ou une organisation.
  • ListAssets: affichez une liste paginée des éléments à un horodatage donné.
  • QueryAssets: émettez une tâche qui interroge les composants à l'aide d'une instruction SQL compatible avec BigQuery SQL.
  • Ces API vous permettent également d'utiliser la recherche globale dans la console Google Cloud pour rechercher des ressources VMware Engine. Utilisez la barre de recherche globale pour rechercher le nom de toute ressource VMware Engine disponible via l'API Cloud Asset. La ressource s'affiche dans la liste des résultats.

  Pour rechercher des ressources VMware Engine ou des stratégies IAM à l'aide de la console Cloud Asset Inventory, procédez comme suit:

  1. Accédez à la page Inventaire des éléments dans la console Google Cloud.

  Accéder à l'inventaire des éléments

  1. Pour définir le champ d'application de votre recherche, ouvrez la liste des projets dans la barre de menu, puis sélectionnez l'organisation, le dossier ou le projet à interroger.

  2. Sélectionnez l'onglet Ressource ou Stratégie IAM.

  3. Cochez la case à côté des filtres de votre choix sous Filtrer les résultats.

  Les ressources ou stratégies correspondant à la requête sont répertoriées dans la table Résultat.

  Pour afficher la requête en tant que commande Google Cloud CLI, sélectionnez Afficher la requête.

  Pour exporter les résultats, sélectionnez Télécharger au format CSV.

• Surveillance et analyse:vous pouvez exporter toutes les métadonnées d'élément à un certain horodatage ou exporter l'historique des modifications d'événements au cours d'une période donnée. De plus, vous pouvez également surveiller les modifications d'éléments en vous abonnant aux notifications en temps réel.

  • ExportAssets: exporte des éléments avec des types de temps et de ressources vers un emplacement Cloud Storage ou une table BigQuery donnés.
  • BatchGetAssetsHistory: la méthode Batch obtient l'historique des mises à jour des éléments qui se chevauchent sur une période.
  • Flux: flux d'éléments utilisé pour exporter les mises à jour des éléments vers une destination. Créez des canaux Cloud Pub/Sub afin de recevoir des notifications en temps réel concernant toute modification de configuration des éléments, diminuer la fréquence des exportations et maintenir facilement une surveillance continue.

  Pour analyser les stratégies IAM qui ont accès à quelles ressources Google Cloud à l'aide de la console Cloud Asset Inventory, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Analyse des stratégies.

     Accéder à la page "Analyse des stratégies"

  2. Dans la section Analyser les règles, recherchez le volet intitulé Requête personnalisée, puis cliquez sur Créer une requête personnalisée dans ce volet.

  3. Dans le champ Sélectionner le champ d'application de la requête, sélectionnez le projet, le dossier ou l'organisation auquel vous souhaitez appliquer la requête. Policy Analyzer analyse l'accès pour ce projet, ce dossier ou cette organisation, ainsi que toutes les ressources de ce projet, ce dossier ou cette organisation.

  4. Choisissez la ressource à vérifier, ainsi que le rôle ou l'autorisation à vérifier :

     1. Dans le champ Paramètre  1, sélectionnez Ressource dans le menu déroulant.
     2. Dans le champ Ressource, saisissez le nom complet de la ressource pour laquelle vous souhaitez analyser l'accès. Si vous ne connaissez pas le nom complet de la ressource, commencez à saisir le nom à afficher de la ressource, puis sélectionnez-la dans la liste des ressources fournies.
     3. Cliquez sur add Ajouter un sélecteur.
     4. Dans le champ Paramètre 2, sélectionnez Rôle ou Autorisation.
     5. Dans le champ Sélectionner un rôle ou Sélectionner une autorisation, sélectionnez le rôle ou l'autorisation que vous souhaitez vérifier.
     6. Facultatif : Pour vérifier les rôles et autorisations supplémentaires, continuez à ajouter des sélecteurs Rôle et Autorisation jusqu'à ce que tous les rôles et autorisations que vous souhaitez vérifier soient répertoriés.

  5. Facultatif: Cliquez sur Continuer, puis sélectionnez les options avancées que vous souhaitez activer pour cette requête.

  6. Dans le volet Requête personnalisée, cliquez sur Analyser > Exécuter la requête. La page du rapport affiche les paramètres de requête que vous avez saisis, ainsi qu'une table de résultats de tous les comptes principaux avec les rôles et les autorisations spécifiés sur la ressource spécifiée.

  Les requêtes d'analyse des stratégies dans la console Google Cloud s'exécutent pendant une minute maximum. Au bout d'une minute, la console Google Cloud arrête la requête et affiche tous les résultats disponibles. Si la requête n'est pas terminée au bout de ce délai, la console Google Cloud affiche une bannière indiquant que les résultats sont incomplets. Pour obtenir plus de résultats pour ces requêtes, exportez les résultats vers BigQuery.

• Analyse des stratégies IAM:analysez les API de stratégie pour savoir qui a accès à quoi.

  • AnalyzeIamPolicy: analyse les stratégies IAM pour déterminer quelles identités ont accès à quelles ressources.
  • AnalyzeIamPolicyLongrunning: analyse de manière asynchrone les stratégies IAM pour déterminer quelles identités ont accès à quelles ressources et écrit les résultats de l'analyse dans une destination Cloud Storage ou BigQuery.

Étape suivante

• Accédez à la liste des ressources disponibles à l'aide de l'inventaire des éléments cloud, puis recherchez VMware.
• Découvrez les possibilités offertes par Cloud Asset Inventory.