适用于 VMware Engine 的资产清单服务

Cloud Asset Inventory 基于时序数据库提供库存服务, 可让您搜索、导出和分析与 初始配置资源Cloud Asset Inventory 是一项全代管式目录服务 在该模式下,您可以精细地控制对 Cloud Asset Inventory 数据的访问权限, 资源和政策类型。这样,您可从集中式目录的强大功能中受益,同时也能在需要时实现最小权限。

您可以通过 Cloud Asset API 获取关键 VMware Engine 资源或资产,也可以在 Google Cloud 控制台的“身份和访问管理”下使用 Cloud Asset Inventory 界面获取这些资源或资产。Cloud Asset API 资源包括:

对于这些资源,Cloud Asset Inventory 界面和 Cloud Asset API 支持 以下功能:

  • 搜索和可见性:搜索资产元数据,包括 使用自定义查询与其关联的 IAM 政策 语言。

    • SearchAllResources:搜索指定范围(例如项目、文件夹或组织)内的所有 Google Cloud 资源。
    • SearchAllIamPolicies:搜索指定范围(例如项目、文件夹或组织)内的所有 IAM 政策。
    • ListAssets:查看给定时间戳的资产的分页列表。
    • QueryAssets:发出使用与 BigQuery SQL 兼容的 SQL 语句查询素材资源的作业。
    • 这些 API 还可让您在 Google Cloud 控制台,用于查找 VMware Engine 资源。您可以使用全局搜索栏搜索 Cloud Asset API 提供的任何 VMware Engine 资源的名称。资源会显示在结果列表中。

    如需使用 Cloud Asset Inventory 控制台搜索 VMware Engine 资源或 IAM 政策,请执行以下操作:

    1. 前往 Google Cloud 控制台中的 Asset Inventory 页面。

    前往 Asset Inventory

    1. 要设置搜索范围,请打开菜单栏中的“项目”列表框,然后选择要查询的组织、文件夹或项目。

    2. 选择资源IAM 政策标签页。

    3. 对于过滤结果,请选中所选过滤条件旁边的复选框。

    结果中会列出与查询匹配的资源或政策, 表格。

    如需以 Google Cloud CLI 命令的形式来查看查询,请选择查看查询

    如需导出结果,请选择下载 CSV

  • 监控和分析:您可以导出特定时间戳的所有资产元数据,或导出特定时间范围内的事件更改历史记录。此外,您还可以通过订阅实时通知来监控资产变化。

    • ExportAssets:导出包含时间和资源的资产 指定 Cloud Storage 位置或 BigQuery 表。
    • BatchGetAssetsHistory:Batch 获取更新 存在时间窗口重叠的资产历史记录。
    • Feed:用于将素材资源更新导出到目标位置的素材资源 Feed。设置 Cloud Pub/Sub 渠道以获取 降低导出频率 实现持续监控。

    如需使用 Cloud Asset Inventory 控制台分析哪些 IAM 政策有权访问哪些 Google Cloud 资源,请执行以下操作:

    1. 在 Google Cloud 控制台中,前往政策分析器页面。

      前往“政策分析器”页面

    2. 分析政策部分,找到标记为自定义的窗格 查询,然后点击该窗格中的创建自定义查询

    3. 选择查询范围字段中,选择项目、文件夹或 将查询限定到的组织。 政策分析器将分析该项目、文件夹、 项目、文件夹内的任何资源 或组织。

    4. 选择要检查的资源以及要检查的角色或权限:

      1. 参数 1 字段中,从下拉菜单中选择资源
      2. 资源字段中,输入要分析其访问权限的资源的完整资源名称。如果您不知道完整资源名称,请输入资源的显示名,然后从提供的资源列表中选择该资源。
      3. 点击 添加选择器
      4. 参数 2 字段中,选择角色权限
      5. 选择角色选择权限字段中,选择要检查的角色或权限。
      6. 可选:如需检查其他角色和权限,请继续添加角色权限选择器,直到您列出要检查的所有角色和权限。

    5. 可选:点击继续,然后选择任意一项 要为此查询启用的高级选项

    6. 在“自定义查询”窗格中,依次点击分析 > 运行 查询。报告页面会显示您输入的查询参数,以及对指定资源拥有指定角色或权限的所有主账号的结果表。

    Google Cloud 控制台中的政策分析查询的运行时间最多为 1 分钟。一分钟后,Google Cloud 控制台会停止查询并显示所有可用结果。如果查询在该时间段内没有完成,Google Cloud 控制台会显示 一个指明结果不完整的横幅。如需针对这些查询获取更多结果,请将结果导出到 BigQuery

  • IAM 政策分析分析政策 API,了解哪些用户有权访问哪些资源。

    • AnalyzeIamPolicy:分析 IAM 政策,以确定哪些身份对哪些资源具有哪些访问权限。
    • AnalyzeIamPolicyLongrunning:分析 异步使用 IAM 政策来回答 对哪些资源拥有什么访问权限,并写入分析结果 Cloud Storage 或 BigQuery 目标位置。

后续步骤