Servizi di inventario degli asset per VMware Engine

Cloud Asset Inventory fornisce servizi di inventario basati su un database di serie temporali che consente di cercare, esportare e analizzare i metadati delle risorse associati alle risorse di cui è stato eseguito il caricamento. Cloud Asset Inventory è un servizio di inventario completamente gestito in cui puoi controllare l'accesso ai dati di Cloud Asset Inventory fino al livello di singolo tipo di risorsa e criterio. In questo modo puoi trarre vantaggio dalla potenza di un sistema inventario e ottenere privilegio minimo necessari.

Le risorse o gli asset principali di VMware Engine sono disponibili tramite l'API Cloud Asset e sono disponibili anche utilizzando l'interfaccia utente di Cloud Asset Inventory in Identity and Access Management nella console Google Cloud. Le risorse dell'API Cloud Asset includono:

Per queste risorse, l'interfaccia utente di Cloud Asset Inventory e l'API Cloud Asset abilitano le seguenti funzionalità:

  • Ricerca e visibilità: metadati degli asset di ricerca, tra cui i criteri IAM associati mediante una query personalizzata. lingua.

    • SearchAllResources: cerca tutte le risorse Google Cloud nell'ambito specificato, ad esempio progetto, cartella o organizzazione.
    • SearchAllIamPolicies: cerca tutto Criteri IAM nell'ambito specificato, ad esempio progetto, cartella o organizzazione.
    • ListAssets: visualizza un elenco impaginato degli asset in un un determinato timestamp.
    • QueryAssets: esegui un job che esegue query sugli asset utilizzando un statement SQL compatibile con BigQuery SQL.
    • Queste API ti consentono inoltre di utilizzare la ricerca globale nella Console Google Cloud per trovare risorse VMware Engine. Utilizza la barra di ricerca globale per cercare il nome di qualsiasi risorsa VMware Engine disponibile tramite l'API Cloud Asset. La risorsa viene visualizzata nell'elenco dei risultati.

    Per eseguire ricerche nelle risorse VMware Engine o nei criteri IAM utilizzando la console di Cloud Asset Inventory, segui questi passaggi:

    1. Vai alla pagina Asset Inventory nella console Google Cloud.

    Vai ad Asset Inventory

    1. Per impostare l'ambito della ricerca, apri l'elenco Progetti nel menu barra e seleziona l'organizzazione, la cartella o il progetto su cui eseguire la query.

    2. Seleziona la scheda Risorsa o Criterio IAM.

    3. Per Filtra risultati, seleziona la casella accanto ai filtri scelti.

    Le risorse o i criteri corrispondenti alla query sono elencati nella sezione Risultato tabella.

    Per visualizzare la query come comando Google Cloud CLI, seleziona Visualizza query.

    Per esportare i risultati, seleziona Scarica CSV.

  • Monitoraggio e analisi: puoi esportare tutti i metadati delle risorse a un determinato timestamp o la cronologia delle modifiche degli eventi in un periodo di tempo specifico. Inoltre, puoi monitorare le modifiche agli asset iscrivendoti alle notifiche in tempo reale.

    • ExportAssets: esporta gli asset con tempo e risorse a una determinata località di Cloud Storage o a una tabella BigQuery.
    • BatchGetAssetsHistory: Batch ottiene l'aggiornamento cronologia degli asset che si sovrappongono in una finestra temporale.
    • Feed: un feed di asset utilizzato per esportare gli aggiornamenti delle risorse in una destinazione. Configura canali Cloud Pub/Sub per ricevere aggiornamenti in tempo reale su qualsiasi modifica alla configurazione degli asset, ridurre la frequenza delle esportazioni e realizzare facilmente il monitoraggio continuo.

    Per analizzare i criteri IAM che hanno accesso alle risorse Google Cloud utilizzando la console Inventario asset di Cloud, segui questi passaggi:

    1. Nella console Google Cloud, vai a Policy Analyzer .

      Vai alla pagina di Analizzatore criteri

    2. Nella sezione Analisi delle norme, individua il riquadro Query personalizzata e fai clic su Crea query personalizzata in questo riquadro.

    3. Nel campo Seleziona l'ambito della query, seleziona il progetto, la cartella o l'organizzazione a cui vuoi applicare l'ambito della query. Policy Analyzer analizzerà l'accesso per quel progetto, cartella o organizzazione, nonché le risorse all'interno del progetto, della cartella o organizzazione.

    4. Scegli la risorsa da controllare e il ruolo o l'autorizzazione da verificare:

      1. Nel campo Parametro 1, seleziona Risorsa dal menu a discesa.
      2. Nel campo Risorsa, inserisci il nome completo della risorsa. per cui vuoi analizzare l'accesso. Se non conosci il nome completo della risorsa, inizia a digitare il nome visualizzato della risorsa, quindi selezionala dall'elenco delle risorse fornite.
      3. Fai clic su Aggiungi selettore.
      4. Nel campo Parametro 2, seleziona Ruolo o Autorizzazione.
      5. Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, seleziona la il ruolo o l'autorizzazione che vuoi controllare.
      6. (Facoltativo) Per verificare la presenza di altri ruoli e autorizzazioni, continua ad aggiungere i selettori Ruolo e Autorizzazione finché non sono elencati tutti i ruoli e le autorizzazioni che vuoi verificare.

    5. (Facoltativo) Fai clic su Continua, quindi seleziona una qualsiasi opzioni avanzate da attivare per questa query.

    6. Nel riquadro Query personalizzata, fai clic su Analizza > Esegui. una query. La pagina del report mostra i parametri di ricerca inseriti e una tabella dei risultati di tutte le entità con le autorizzazioni o i ruoli specificati della risorsa specificata.

    Le query di analisi dei criteri nella console Google Cloud vengono eseguite per un massimo di un minuto. Dopo il giorno un minuto, la console Google Cloud interrompe la query e mostra tutte che consentono di analizzare i dati e visualizzare i risultati. Se la query non è stata completata entro questo periodo di tempo, la console Google Cloud mostra un banner che indica che i risultati sono incompleti. Per ottenere più risultati per queste query, esporta i risultati in BigQuery.

  • Analisi dei criteri IAM: analizza le API di criteri per scoprire chi ha accesso a cosa.

    • AnalyzeIamPolicy: analizza i criteri IAM per rispondere a quali identità hanno quali accessi a quali risorse.
    • AnalyzeIamPolicyLongrunning: analizza i criteri IAM in modo asincrono per rispondere a quali identità hanno quali accessi a quali risorse e scrive i risultati dell'analisi in una destinazione Cloud Storage o BigQuery.

Passaggi successivi