VMware Engine の Asset Inventory サービス

Cloud Asset Inventory は、オンボーディングされたリソースに関連付けられたアセット メタデータを検索、エクスポート、分析できる時系列データベースに基づいてインベントリ サービスを提供します。Cloud Asset Inventory は、Cloud Asset Inventory データへのアクセスを各リソースおよびポリシータイプまで制御できるフルマネージド インベントリ サービスです。これにより、一元化されたインベントリによるメリットを得る一方で、必要に応じて最小権限を付与することもできます。

主要な VMware Engine リソースまたはアセットは、Cloud Asset API を介して利用できます。また、Google Cloud コンソールの Identity and Access Management の Cloud Asset Inventory UI を使用して利用することもできます。Cloud Asset API リソースには次のものがあります。

これらのリソースでは、Cloud Asset Inventory UI と Cloud Asset API により次の機能が有効になります。

  • 検索と公開設定: カスタムクエリ言語を使用して、関連付けられているアセット メタデータ(IAM ポリシーを含む)を検索します。

    • SearchAllResources: 指定されたスコープ(プロジェクト、フォルダ、組織など)内のすべての Google Cloud リソースを検索します。
    • SearchAllIamPolicies: 指定されたスコープ(プロジェクト、フォルダ、組織など)内のすべての IAM ポリシーを検索します。
    • ListAssets: 任意のタイムスタンプにおけるアセットをページ分けして一覧表示します。
    • QueryAssets: BigQuery SQL と互換性のある SQL ステートメントを使用してアセットをクエリするジョブを発行します。
    • これらの API を使用すると、Google Cloud コンソールでグローバル検索を使用して VMware Engine リソースを見つけることもできます。グローバル検索バーを使用して、Cloud Asset API で利用可能な VMware Engine リソースの名前を検索します。結果のリストにリソースが表示されます。

    Cloud Asset Inventory コンソールを使用して VMware Engine リソースまたは IAM ポリシーを検索する手順は次のとおりです。

    1. Google Cloud コンソールの [アセット インベントリ] ページに移動します。

    アセット インベントリに移動

    1. 検索のスコープを設定するには、メニューバーで [プロジェクト] リストボックスを開き、クエリする組織、フォルダ、またはプロジェクトを選択します。

    2. [リソース] タブまたは [IAM ポリシー] タブを選択します。

    3. [結果をフィルタする] で、選択したフィルタの横にあるチェックボックスをオンにします。

    クエリに一致するリソースまたはポリシーが [結果] テーブルに一覧表示されます。

    クエリを Google Cloud CLI コマンドとして表示するには、[クエリを表示] を選択します。

    結果をエクスポートするには、[CSV 形式でダウンロード] を選択します。

  • モニタリングと分析: 特定のタイムスタンプにおけるすべてのアセット メタデータをエクスポートしたり、特定の期間内のイベントの変更履歴をエクスポートしたりできます。さらに、リアルタイム通知に登録してアセットの変更をモニタリングすることもできます。

    • ExportAssets: 指定された Cloud Storage のロケーションまたは BigQuery テーブルに、時間とリソースタイプを含むアセットをエクスポートします。
    • BatchGetAssetsHistory: Batch は、ある時間枠とオーバーラップするアセットの更新履歴を取得します。
    • フィード: アセットの更新を宛先にエクスポートするために使用されるアセット フィード。Cloud Pub/Sub チャネルを設定することで、アセットの構成変更に関するリアルタイムの更新情報の取得、エクスポート頻度の低減、簡単な継続的モニタリングを行えます。

    Cloud Asset Inventory コンソールを使用して、どの IAM ポリシーがどの Google Cloud リソースにアクセスできるかを分析する手順は次のとおりです。

    1. Google Cloud コンソールで、[Policy Analyzer] ページに移動します。

      [Policy Analyzer] ページに移動

    2. [ポリシーの分析] セクションで、[カスタムクエリ] と表示されたペインを見つけて [カスタムクエリを作成] をクリックします。

    3. [クエリスコープを選択] フィールドで、クエリを調査するプロジェクト、フォルダ、組織を選択します。 Policy Analyzer は、プロジェクト、フォルダ、組織へのアクセスと、そのプロジェクト、フォルダ、組織内のリソースを分析します。

    4. 確認するリソースと、確認するロールまたは権限を選択します。

      1. [パラメータ 1] フィールドで、プルダウン メニューから [リソース] を選択します。
      2. [リソース] フィールドに、アクセスを分析するリソースの完全なリソース名を入力します。完全なリソース名がわからない場合は、リソースの表示名の入力を開始し、表示されるリソースのリストから該当するリソースを選択します。
      3. [セレクタを追加] をクリックします。
      4. [パラメータ 2] フィールドで、[ロール] か [権限] を選択します。
      5. [ロールを選択] フィールドか [権限を選択] フィールドで、確認するロールまたは権限を選択します。
      6. 省略可: 追加のロールと権限を確認するには、確認するすべてのロールと権限が表示されるまで、[ロール] と [権限] セレクタの追加を継続します。
    5. 省略可: [続行] をクリックして、このクエリで有効にする詳細オプションを選択します。

    6. [カスタムクエリ] ペインで、[分析] > [クエリを実行] をクリックします。レポートページには、入力したクエリ パラメータと、指定されたリソースに対する指定されたロールまたは権限を有するすべてのプリンシパルの結果テーブルが表示されます。

    Google Cloud コンソールのポリシー分析クエリは、最大 1 分間実行されます。1 分後、Google Cloud コンソールでクエリが停止し、使用可能なすべての結果が表示されます。その時間内にクエリが完了しなかった場合は、結果が不完全であることを示すバナーが Google Cloud コンソールに表示されます。これらのクエリの結果をさらに取得するには、結果を BigQuery にエクスポートします。

  • IAM ポリシー分析: ポリシー API を分析して、誰が何にアクセスできるかを調べます。

    • AnalyzeIamPolicy: IAM ポリシーを分析して、どの ID がどのリソースに対してどのようなアクセス権を持つかを確認します。
    • AnalyzeIamPolicyLongrunning: IAM ポリシーを非同期で分析して、どの ID がどのリソースに対してどのようなアクセス権を持つかを把握し、分析結果を Cloud Storage または BigQuery の宛先に書き込みます。

次のステップ