Serviços de inventário de recursos para o VMware Engine

O Cloud Asset Inventory fornece serviços de inventário com base numa base de dados de séries cronológicas que lhe permite pesquisar, exportar e analisar metadados de recursos associados aos recursos integrados. O Cloud Asset Inventory é um serviço de inventário totalmente gerido onde pode controlar o acesso aos dados do Cloud Asset Inventory até cada recurso e tipo de política. Isto permite-lhe beneficiar do poder de um inventário centralizado e também alcançar o menor privilégio quando necessário.

Os principais recursos ou recursos do VMware Engine estão disponíveis através da API Cloud Asset e também estão disponíveis através da IU do Cloud Asset Inventory em Identity and Access Management na sua Google Cloud consola. Os recursos da API Cloud Asset incluem:

Para estes recursos, a IU do Cloud Asset Inventory e a API Cloud Asset ativam as seguintes funcionalidades:

  • Pesquisa e visibilidade: pesquise metadados de recursos, incluindo políticas de IAM associadas, através de uma linguagem de consulta personalizada.

    • SearchAllResources: pesquisa todos os recursos Google Cloud no âmbito especificado, como projeto, pasta ou organização.
    • SearchAllIamPolicies: pesquisa todas as políticas IAM no âmbito especificado, como projeto, pasta ou organização.
    • ListAssets: veja uma lista paginada dos recursos numa data/hora específica.
    • QueryAssets: emite uma tarefa que consulta recursos através de uma declaração SQL compatível com o SQL do BigQuery.
    • Estas APIs também lhe permitem usar a pesquisa global na Google Cloud consola para encontrar recursos do VMware Engine. Use a barra de pesquisa global para pesquisar o nome de qualquer recurso do VMware Engine disponível através da Cloud Asset API. O recurso é apresentado na lista de resultados.

    Para pesquisar recursos do VMware Engine ou políticas de IAM através da consola do Cloud Asset Inventory, faça o seguinte:

    1. Aceda à página Inventário de recursos na Google Cloud consola.

    Aceda ao inventário de recursos

    1. Para definir o âmbito da sua pesquisa, abra a caixa de lista Projetos na barra de menu e, de seguida, selecione a organização, a pasta ou o projeto a consultar.

    2. Selecione o separador Recurso ou Política de IAM.

    3. Para Filtrar resultados, selecione a caixa junto aos filtros escolhidos.

    Os recursos ou as políticas que correspondem à consulta são apresentados na tabela Resultado.

    Para ver a consulta como um comando da CLI gcloud, selecione Ver consulta.

    Para exportar os resultados, selecione Transferir CSV.

  • Monitorização e análise: pode exportar todos os metadados dos recursos numa determinada data/hora ou exportar o histórico de alterações de eventos durante um período específico. Além disso, também pode monitorizar as alterações aos recursos subscrevendo notificações em tempo real.

    • ExportAssets: exporta recursos com tipos de tempo e recursos para uma determinada localização do Cloud Storage ou tabela do BigQuery.
    • BatchGetAssetsHistory: obtém em lote o histórico de atualizações de recursos que se sobrepõem a um intervalo de tempo.
    • Feed: um feed de recursos usado para exportar atualizações de recursos para um destino. Configure canais do Cloud Pub/Sub para receber atualizações em tempo real sobre qualquer alteração na configuração de recursos, reduzir a frequência das exportações e alcançar facilmente uma monitorização contínua.

    Para analisar que políticas de IAM têm acesso a que Google Cloud recursos através da consola do Cloud Asset Inventory, faça o seguinte:

    1. Na Google Cloud consola, aceda à página Analisador de políticas.

      Aceda à página do Analisador de políticas

    2. Na secção Analisar políticas, encontre o painel com a etiqueta Consulta personalizada e clique em Criar consulta personalizada nesse painel.

    3. No campo Selecionar âmbito da consulta, selecione o projeto, a pasta ou a organização ao qual quer restringir a consulta. O Policy Analyzer analisa o acesso para esse projeto, pasta ou organização, bem como todos os recursos nesse projeto, pasta ou organização.

    4. Escolha o recurso a verificar e a função ou a autorização a verificar:

      1. No campo Parâmetro 1, selecione Recurso no menu pendente.
      2. No campo Recurso, introduza o nome completo do recurso para o qual quer analisar o acesso. Se não souber o nome completo do recurso, comece a escrever o nome a apresentar do recurso e, em seguida, selecione o recurso na lista de recursos fornecida.
      3. Clique em Adicionar seletor.
      4. No campo Parâmetro 2, selecione Função ou Autorização.
      5. No campo Selecionar uma função ou Selecionar uma autorização, selecione a função ou a autorização que quer verificar.
      6. Opcional: para verificar funções e autorizações adicionais, continue a adicionar seletores de Função e Autorização até que todas as funções e autorizações que quer verificar sejam apresentadas.

    5. Opcional: clique em Continuar e, de seguida, selecione as opções avançadas que quer ativar para esta consulta.

    6. No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta que introduziu e uma tabela de resultados de todos os principais com as funções ou as autorizações especificadas no recurso especificado.

    As consultas de análise de políticas na Google Cloud consola são executadas durante um máximo de um minuto. Após um minuto, a consola Google Cloud para a consulta e apresenta todos os resultados disponíveis. Se a consulta não terminar nesse período, a consola Google Cloud apresenta uma faixa a indicar que os resultados estão incompletos. Para obter mais resultados para estas consultas, exporte os resultados para o BigQuery.

  • Análise de políticas de IAM: analise as APIs de políticas para saber quem tem acesso a quê.

    • AnalyzeIamPolicy: analisa as políticas de IAM para responder que identidades têm que acessos em que recursos.
    • AnalyzeIamPolicyLongrunning: analisa as políticas de IAM de forma assíncrona para responder a que identidades têm que acessos em que recursos e escreve os resultados da análise num destino do Cloud Storage ou do BigQuery.

O que se segue?