Servizi di inventario asset per VMware Engine

Cloud Asset Inventory fornisce servizi di inventario basati su un database di serie temporali che consente di cercare, esportare e analizzare i metadati delle risorse associati alle risorse di cui è stato eseguito il caricamento. Cloud Asset Inventory è un servizio di inventario completamente gestito in cui puoi controllare l'accesso ai dati di Cloud Asset Inventory fino al livello di singolo tipo di risorsa e criterio. In questo modo, puoi sfruttare la potenza di un inventory centralizzato e, allo stesso tempo, ottenere solo i privilegi minimi necessari.

Le risorse o gli asset principali di VMware Engine sono disponibili tramite l'API Cloud Asset e sono disponibili anche utilizzando l'interfaccia utente di Cloud Asset Inventory in Identity and Access Management nella tua Google Cloud console. Le risorse dell'API Cloud Asset includono:

Per queste risorse, l'interfaccia utente di Cloud Asset Inventory e l'API Cloud Asset attivano le seguenti funzionalità:

  • Ricerca e visibilità:cerca i metadati delle risorse, inclusi i criteri IAM associati, utilizzando un linguaggio di query personalizzato.

    • SearchAllResources: cerca tutte le Google Cloud risorse nell'ambito specificato, ad esempio progetto, cartella o organizzazione.
    • SearchAllIamPolicies: cerca tutti i criteri IAM nell'ambito specificato, ad esempio progetto, cartella o organizzazione.
    • ListAssets: visualizza un elenco paginato delle risorse a un determinato timestamp.
    • QueryAssets: esegui un job che esegue query sugli asset utilizzando un statement SQL compatibile con BigQuery SQL.
    • Queste API ti consentono inoltre di utilizzare la ricerca globale nella consoleGoogle Cloud per trovare le risorse di VMware Engine. Utilizza la barra di ricerca globale per cercare il nome di qualsiasi risorsa VMware Engine disponibile tramite l'API Cloud Asset. La risorsa viene visualizzata nell'elenco dei risultati.

    Per cercare le risorse VMware Engine o i criteri IAM utilizzando la console Cloud Asset Inventory, segui questi passaggi:

    1. Vai alla pagina Inventario asset nella Google Cloud console.

    Vai ad Asset Inventory

    1. Per impostare l'ambito della ricerca, apri la casella dell'elenco Progetti nella barra di menu e seleziona l'organizzazione, la cartella o il progetto per cui eseguire la query.

    2. Seleziona la scheda Risorsa o Policy IAM.

    3. Per Filtra risultati, seleziona la casella accanto ai filtri scelti.

    Le risorse o le norme corrispondenti alla query sono elencate nella tabella Risultato.

    Per visualizzare la query come comando Google Cloud CLI, seleziona Visualizza query.

    Per esportare i risultati, seleziona Scarica CSV.

  • Monitoraggio e analisi:puoi esportare tutti i metadati delle risorse a un determinato timestamp o la cronologia delle modifiche degli eventi in un determinato periodo di tempo. Inoltre, puoi monitorare le modifiche agli asset iscrivendoti alle notifiche in tempo reale.

    • ExportAssets: esporta gli asset con tipi di tempo e risorse in una determinata posizione Cloud Storage o tabella BigQuery.
    • BatchGetAssetsHistory: recupera la cronologia degli aggiornamenti degli asset che si sovrappongono a una finestra temporale.
    • Feed: un feed di asset utilizzato per esportare gli aggiornamenti delle risorse in una destinazione. Configura canali Cloud Pub/Sub per ricevere aggiornamenti in tempo reale su qualsiasi modifica alla configurazione degli asset, ridurre la frequenza delle esportazioni e realizzare facilmente il monitoraggio continuo.

    Per analizzare i criteri IAM che hanno accesso alle risorse Google Cloud utilizzando la console Inventario asset di Cloud, segui questi passaggi:

    1. Nella Google Cloud console, vai alla pagina Policy Analyzer.

      Vai alla pagina di Analizzatore criteri

    2. Nella sezione Analisi delle norme, individua il riquadro Query personalizzata e fai clic su Crea query personalizzata.

    3. Nel campo Seleziona l'ambito della query, seleziona il progetto, la cartella o l'organizzazione a cui vuoi applicare l'ambito della query. Analizzatore criteri analizzerà l'accesso per il progetto, la cartella o l'organizzazione, nonché per le risorse al loro interno.

    4. Scegli la risorsa da controllare e il ruolo o l'autorizzazione da verificare:

      1. Nel campo Parametro 1, seleziona Risorsa dal menu a discesa.
      2. Nel campo Risorsa, inserisci il nome completo della risorsa per la quale vuoi analizzare l'accesso. Se non conosci il nome completo della risorsa, inizia a digitare il nome visualizzato della risorsa, quindi selezionala dall'elenco delle risorse fornite.
      3. Fai clic su Aggiungi selettore.
      4. Nel campo Parametro 2, seleziona Ruolo o Autorizzazione.
      5. Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, seleziona il ruolo o l'autorizzazione che vuoi verificare.
      6. (Facoltativo) Per verificare la presenza di altri ruoli e autorizzazioni, continua ad aggiungere i selettori Ruolo e Autorizzazione finché non sono elencati tutti i ruoli e le autorizzazioni che vuoi verificare.

    5. (Facoltativo) Fai clic su Continua, poi seleziona le opzioni avanzate che vuoi attivare per questa query.

    6. Nel riquadro Query personalizzata, fai clic su Esegui analisi > Esegui query. La pagina del report mostra i parametri di query inseriti e una tabella dei risultati di tutte le entità con i ruoli o le autorizzazioni specificati per la risorsa specificata.

    Le query di analisi dei criteri nella Google Cloud console vengono eseguite per un massimo di un minuto. Dopo un minuto, la Google Cloud console interrompe la query e mostra tutti i risultati disponibili. Se la query non è stata completata entro questo periodo di tempo, la Google Cloud console mostra un banner che indica che i risultati sono incompleti. Per ottenere più risultati per queste query, esporta i risultati in BigQuery.

  • Analisi dei criteri IAM: analizza le API di criteri per scoprire chi ha accesso a cosa.

    • AnalyzeIamPolicy: analizza i criteri IAM per rispondere a quali identità hanno quali accessi a quali risorse.
    • AnalyzeIamPolicyLongrunning: analizza i criteri IAM in modo asincrono per rispondere a quali identità hanno quali accessi a quali risorse e scrive i risultati dell'analisi in una destinazione Cloud Storage o BigQuery.

Passaggi successivi