VMware Engine의 애셋 인벤토리 서비스
Cloud 애셋 인벤토리는 온보딩된 리소스와 연결된 애셋 메타데이터를 검색, 내보내기, 분석할 수 있는 시계열 데이터베이스를 기반으로 인벤토리 서비스를 제공합니다. Cloud 애셋 인벤토리는 각 리소스 및 정책 유형 수준에 이르기까지 Cloud 애셋 인벤토리 데이터에 대한 액세스를 제어할 수 있는 완전 관리형 인벤토리 서비스입니다. 이 서비스를 통해 중앙 집중식 인벤토리의 이점을 활용하고 필요한 경우 최소 권한도 얻을 수 있습니다.
주요 VMware Engine 리소스 또는 애셋은 Cloud Asset API를 통해 제공되며 Google Cloud 콘솔에서 Identity and Access Management 아래의 Cloud 애셋 인벤토리 UI를 통해 사용할 수도 있습니다. Cloud Asset API 리소스에는 다음이 포함됩니다.
- PrivateCloud
- Cluster
- VMwareEngineNetwork
- NetworkPeering
- PrivateConnection
- NetworkPolicy
- ExternalAccessRule
- ExternalAddress
이러한 리소스의 경우 Cloud 애셋 인벤토리 UI 및 Cloud Asset API가 다음 기능을 사용 설정합니다.
검색 및 공개 상태: 커스텀 쿼리 언어를 사용하여 연결된 IAM 정책을 포함한 애셋 메타데이터를 검색합니다.
- SearchAllResources: 프로젝트, 폴더, 조직 등 지정된 범위 내의 모든 Google Cloud 리소스를 검색합니다.
- SearchAllIamPolicies: 프로젝트, 폴더, 조직 등 지정된 범위 내의 모든 IAM 정책을 검색합니다.
- ListAssets: 주어진 타임스탬프에 페이지로 묶인 애셋의 목록을 확인합니다.
- QueryAssets: BigQuery SQL과 호환되는 SQL 문을 사용하여 애셋을 쿼리하는 작업을 실행합니다.
- 또한 이러한 API를 사용하면 Google Cloud 콘솔에서 전체 검색을 사용하여 VMware Engine 리소스를 찾을 수 있습니다. 전역 검색창을 사용하여 Cloud Asset API를 통해 제공되는 VMware Engine 리소스의 이름을 검색하세요. 리소스가 결과 목록에 표시됩니다.
Cloud 애셋 인벤토리 콘솔을 사용하여 VMware Engine 리소스 또는 IAM 정책을 검색하려면 다음을 수행합니다.
- Google Cloud 콘솔에서 애셋 인벤토리 페이지로 이동합니다.
검색 범위를 설정하려면 메뉴 바에서 프로젝트 목록 상자를 연 후 쿼리할 조직, 폴더, 프로젝트를 선택합니다.
리소스 또는 IAM 정책 탭을 선택합니다.
결과 필터링에서 선택한 필터 옆의 체크박스를 선택합니다.
쿼리와 일치하는 리소스 또는 정책이 결과 테이블에 나열됩니다.
Google Cloud CLI 명령어로 쿼리를 보려면 쿼리 보기를 선택합니다.
결과를 내보내려면 CSV 다운로드를 선택합니다.
모니터링 및 분석: 특정 타임스탬프의 모든 애셋 메타데이터를 내보내거나 특정 기간의 이벤트 변경 내역을 내보낼 수 있습니다. 또한 실시간 알림을 구독하여 애셋 변경사항을 모니터링할 수도 있습니다.
- ExportAssets: 시간 및 리소스 유형이 있는 애셋을 지정된 Cloud Storage 위치 또는 BigQuery 테이블로 내보냅니다.
- BatchGetAssetsHistory: Batch는 기간과 겹치는 애셋의 업데이트 기록을 가져옵니다.
- 피드: 애셋 업데이트를 대상으로 내보내는 데 사용되는 애셋 피드입니다. Cloud Pub/Sub 채널을 설정하여 애셋 구성 변경에 대한 실시간 업데이트를 받고, 내보내기 빈도를 줄이며, 지속적으로 쉽게 모니터링할 수 있습니다.
Cloud 애셋 인벤토리 콘솔을 사용하여 어떤 IAM 정책이 어떤 Google Cloud 리소스에 액세스할 수 있는지 분석하려면 다음을 수행합니다.
Google Cloud 콘솔에서 정책 분석 도구 페이지로 이동합니다.
정책 분석 섹션에서 커스텀 쿼리 라벨이 지정된 창을 찾고 해당 창에서 커스텀 쿼리 만들기를 클릭합니다.
쿼리 범위 선택 필드에서 쿼리 범위로 지정할 프로젝트, 폴더, 조직을 선택합니다. 정책 분석 도구는 프로젝트, 폴더, 조직 내 리소스는 물론 프로젝트, 폴더, 조직에 대한 액세스 권한을 분석합니다.
다음에 대해 확인할 리소스 및 확인할 역할 또는 권한을 선택합니다.
- 매개변수 1 필드의 드롭다운 메뉴에서 리소스를 선택합니다.
- 리소스 필드에 액세스를 분석할 리소스의 전체 리소스 이름을 입력합니다. 전체 리소스 이름을 모르면 리소스의 표시 이름을 입력하기 시작한 다음 제공된 리소스 목록에서 리소스를 선택합니다.
- 선택기 추가를 클릭합니다.
- 매개변수 2 필드에서 역할 또는 권한을 선택합니다.
- 역할 선택 또는 권한 선택 필드에서 확인할 역할 또는 권한을 선택합니다.
- (선택사항) 추가 역할 및 권한을 확인하려면 확인하려는 역할 및 권한이 모두 나열될 때까지 역할 및 권한 선택기를 계속 추가합니다.
(선택사항) 계속을 클릭한 후 이 쿼리에 사용할 고급 옵션을 선택합니다.
커스텀 쿼리 창에서 분석 > 쿼리 실행을 클릭합니다. 보고서 페이지에는 입력한 쿼리 매개변수와 지정된 리소스에 대한 지정된 역할 또는 권한이 있는 모든 주 구성원의 결과 표가 표시됩니다.
Google Cloud 콘솔의 정책 분석 쿼리는 최대 1분 동안 실행됩니다. 1분 후에 Google Cloud 콘솔에서 쿼리를 중지하고 사용 가능한 모든 결과를 표시합니다. 쿼리가 해당 시간 내에 완료되지 않은 경우 Google Cloud Console에 결과가 불완전하다는 배너가 표시됩니다. 이러한 쿼리에 대한 결과를 더 가져오려면 BigQuery로 결과를 내보냅니다.
IAM 정책 분석: 정책 API를 분석하여 누가 액세스할 수 있는지 확인합니다.
- AnalyzeIamPolicy: IAM 정책을 분석하여 어떤 ID에 어떤 리소스에 대한 어떤 액세스 권한이 있는지 답합니다.
- AnalyzeIamPolicyLongrunning: IAM 정책을 비동기식으로 분석하여 어떤 ID가 어떤 리소스에 어떤 액세스 권한을 가지고 있는지 답하고 분석 결과를 Cloud Storage 또는 BigQuery 대상에 기록합니다.
다음 단계
- Cloud 애셋 인벤토리를 사용하여 사용 가능한 리소스 목록을 찾고 VMware 검색하기
- Cloud 애셋 인벤토리로 할 수 있는 작업 자세히 알아보기