Layanan inventaris aset untuk VMware Engine

Inventaris Aset Cloud menyediakan layanan inventaris berdasarkan database deret waktu yang memungkinkan Anda menelusuri, mengekspor, dan menganalisis metadata aset yang terkait dengan resource yang diaktifkan. Inventaris Aset Cloud adalah layanan inventaris terkelola sepenuhnya tempat Anda dapat mengontrol akses ke data Inventaris Aset Cloud hingga ke setiap jenis kebijakan dan resource. Hal ini memungkinkan Anda memanfaatkan keunggulan inventaris terpusat, dan juga mendapatkan hak istimewa terendah saat diperlukan.

Resource atau aset VMware Engine utama tersedia melalui Cloud Asset API dan juga tersedia menggunakan UI Cloud Asset Inventory di bagian Identity and Access Management di konsol Google Cloud Anda. Resource Cloud Asset API mencakup:

Untuk resource ini, UI Cloud Asset Inventory dan Cloud Asset API mengaktifkan fitur berikut:

  • Penelusuran dan visibilitas: Menelusuri metadata aset, termasuk kebijakan IAM yang terkait dengannya, menggunakan bahasa kueri kustom.

    • SearchAllResources: Menelusuri semua resource Google Clouddalam cakupan yang ditentukan, seperti project, folder, atau organisasi.
    • SearchAllIamPolicies: Menelusuri semua kebijakan IAM dalam cakupan yang ditentukan, seperti project, folder, atau organisasi.
    • ListAssets: Melihat daftar aset yang di-pagination pada stempel waktu tertentu.
    • QueryAssets: Mengeluarkan tugas yang mengkueri aset menggunakan pernyataan SQL yang kompatibel dengan BigQuery SQL.
    • API ini juga memungkinkan Anda menggunakan Penelusuran Global di konsol Google Cloud untuk menemukan resource VMware Engine. Gunakan kotak penelusuran global untuk menelusuri nama resource VMware Engine yang tersedia melalui Cloud Asset API. Resource ditampilkan dalam daftar hasil.

    Untuk menelusuri resource VMware Engine atau kebijakan IAM menggunakan konsol Cloud Asset Inventory, lakukan hal berikut:

    1. Buka halaman Inventaris Aset di konsol Google Cloud.

    Buka Inventaris Aset

    1. Untuk menetapkan cakupan penelusuran, buka kotak daftar Project di panel menu, lalu pilih organisasi, folder, atau project yang akan dikueri.

    2. Pilih tab Resource atau IAM Policy.

    3. Untuk Filter hasil, centang kotak di samping filter yang dipilih.

    Resource atau kebijakan yang cocok dengan kueri akan tercantum dalam tabel Result.

    Untuk melihat kueri sebagai perintah Google Cloud CLI, pilih Lihat kueri.

    Untuk mengekspor hasilnya, pilih Download CSV.

  • Pemantauan dan analisis: Anda dapat mengekspor semua metadata aset pada stempel waktu tertentu atau mengekspor histori perubahan peristiwa selama jangka waktu tertentu. Selain itu, Anda juga dapat memantau perubahan aset dengan berlangganan notifikasi real-time.

    • ExportAssets: Mengekspor aset dengan jenis waktu dan resource ke lokasi Cloud Storage atau tabel BigQuery tertentu.
    • BatchGetAssetsHistory: Batch mendapatkan histori update aset yang tumpang-tindih dengan jangka waktu.
    • Feed: Feed aset yang digunakan untuk mengekspor pembaruan aset ke tujuan. Siapkan saluran Cloud Pub/Sub untuk mendapatkan pemberitahuan real-time tentang perubahan konfigurasi aset, mengurangi frekuensi ekspor, dan mendapatkan pemantauan berkelanjutan dengan mudah.

    Untuk menganalisis kebijakan IAM mana yang memiliki akses ke resource Google Cloud mana menggunakan konsol Cloud Asset Inventory, lakukan tindakan berikut:

    1. Di konsol Google Cloud, buka halaman Policy Analyzer.

      Buka halaman Policy Analyzer

    2. Di bagian Analisis kebijakan, temukan panel berlabel Kustom kueri dan klik Buat kueri kustom di panel tersebut.

    3. Di kolom Select query scope, pilih project, folder, atau organisasi yang cakupan kuerinya ingin Anda tentukan. Penganalisis Kebijakan akan menganalisis akses untuk project, folder, atau organisasi tersebut, serta resource apa pun dalam project, folder, atau organisasi tersebut.

    4. Pilih resource yang akan diperiksa dan peran atau izin yang akan diperiksa:

      1. Di kolom Parameter 1, pilih Resource dari menu drop-down.
      2. Di kolom Resource, masukkan nama resource lengkap dari resource yang aksesnya ingin Anda analisis. Jika Anda tidak mengetahui nama resource lengkap, mulailah mengetik nama tampilan resource, lalu pilih resource dari daftar resource yang disediakan.
      3. Klik Tambahkan pemilih.
      4. Di kolom Parameter 2, pilih Role atau Permission.
      5. Di kolom Select a role atau Select a permission, pilih peran atau izin yang ingin Anda periksa.
      6. Opsional: Untuk memeriksa peran dan izin tambahan, terus tambahkan pemilih Role dan Permission hingga semua peran dan izin yang ingin Anda periksa tercantum.

    5. Opsional: Klik Lanjutkan, lalu pilih opsi lanjutan yang ingin Anda aktifkan untuk kueri ini.

    6. Di panel Custom query, klik Analyze > Run query. Halaman laporan menampilkan parameter kueri yang Anda masukkan, dan tabel hasil dari semua akun utama dengan peran atau izin yang ditentukan pada resource yang ditentukan.

    Kueri analisis kebijakan di konsol Google Cloud berjalan hingga satu menit. Setelah satu menit, konsol Google Cloud akan menghentikan kueri dan menampilkan semua hasil yang tersedia. Jika kueri tidak selesai dalam waktu tersebut, konsol Google Cloud akan menampilkan banner yang menunjukkan bahwa hasilnya tidak lengkap. Untuk mendapatkan lebih banyak hasil untuk kueri ini, ekspor hasil ke BigQuery.

  • Analisis kebijakan IAM: Menganalisis API kebijakan untuk mengetahui siapa yang memiliki akses ke apa.

    • AnalyzeIamPolicy: Menganalisis kebijakan IAM untuk menjawab identitas mana yang memiliki akses apa pada resource mana.
    • AnalyzeIamPolicyLongrunning: Menganalisis kebijakan IAM secara asinkron untuk menjawab identitas mana yang memiliki akses apa pada resource mana, dan menulis hasil analisis ke tujuan Cloud Storage atau BigQuery.

Langkah berikutnya