适用于 VMware Engine 的资产清单服务

Cloud Asset Inventory 基于时间序列数据库提供库存服务，可让您搜索、导出和分析与已纳入的资源关联的资产元数据。Cloud Asset Inventory 是一项全代管式清单服务，您可以控制对 Cloud Asset Inventory 数据的访问，具体到各个资源和政策类型。这样，您可从集中式目录的强大功能中受益，同时也能在需要时实现最小权限。

您可以通过 Cloud Asset API 获取关键 VMware Engine 资源或资产，也可以在 Google Cloud 控制台的“Identity and Access Management”下使用 Cloud Asset Inventory 界面获取这些资源或资产。Cloud Asset API 资源包括：

• PrivateCloud
• 集群
• VMwareEngineNetwork
• NetworkPeering
• PrivateConnection
• NetworkPolicy
• ExternalAccessRule
• ExternalAddress

对于这些资源，Cloud Asset Inventory 界面和 Cloud Asset API 支持以下功能：

• 搜索和公开范围：使用自定义查询语言搜索资产元数据，包括与其关联的 IAM 政策。

  • SearchAllResources：搜索指定范围（例如项目、文件夹或组织）内的所有 Google Cloud资源。
  • SearchAllIamPolicies：搜索指定范围（例如项目、文件夹或组织）内的所有 IAM 政策。
  • ListAssets：查看给定时间戳的资产的分页列表。
  • QueryAssets：发出使用与 BigQuery SQL 兼容的 SQL 语句查询素材资源的作业。
  • 借助这些 API，您还可以在 Google Cloud 控制台中使用全局搜索功能查找 VMware Engine 资源。您可以使用全局搜索栏搜索 Cloud Asset API 提供的任何 VMware Engine 资源的名称。资源会显示在结果列表中。

  如需使用 Cloud Asset Inventory 控制台搜索 VMware Engine 资源或 IAM 政策，请执行以下操作：

  1. 前往 Google Cloud 控制台中的资产库存页面。

  转到“Asset Inventory”

  1. 要设置搜索范围，请打开菜单栏中的“项目”列表框，然后选择要查询的组织、文件夹或项目。

  2. 选择资源或 IAM 政策标签页。

  3. 对于过滤结果，请选中所选过滤条件旁边的复选框。

  结果表中会列出与查询匹配的资源或政策。

  如需以 Google Cloud CLI 命令的形式来查看查询，请选择查看查询。

  如需导出结果，请选择下载 CSV。

• 监控和分析：您可以导出特定时间戳的所有资产元数据，或导出特定时间范围内的事件更改历史记录。此外，您还可以通过订阅实时通知来监控资产变化。

  • ExportAssets：将具有时间和资源类型的资产导出到给定的 Cloud Storage 位置或 BigQuery 表。
  • BatchGetAssetsHistory：批量获取与时间窗口重叠的资产的更新历史记录。
  • Feed：用于将素材资源更新导出到目标位置的素材资源 Feed。设置 Cloud Pub/Sub 频道，获取任何资产配置变更的实时更新，减少导出频率并轻松实现持续监控。

  如需使用 Cloud Asset Inventory 控制台分析哪些 IAM 政策有权访问哪些 Google Cloud 资源，请执行以下操作：

  1. 在 Google Cloud 控制台中，前往政策分析器页面。

     前往“政策分析器”页面

  2. 在分析合作规范部分，找到标记为自定义查询的窗格，然后点击该窗格中的创建自定义查询。

  3. 在选择查询范围字段中，选择要将查询范围限定到的项目、文件夹或组织。政策分析器将分析该项目、文件夹或组织的访问权限，以及该项目、文件夹或组织中的任何资源。

  4. 选择要检查的资源以及要检查的角色或权限：

     1. 在参数 1 字段中，从下拉菜单中选择资源。
     2. 在资源字段中，输入要分析其访问权限的资源的完整资源名称。如果您不知道完整资源名称，请输入资源的显示名，然后从提供的资源列表中选择该资源。
     3. 点击 add 添加选择器。
     4. 在参数 2 字段中，选择角色或权限。
     5. 在选择角色或选择权限字段中，选择要检查的角色或权限。
     6. 可选：如需检查其他角色和权限，请继续添加角色和权限选择器，直到您列出要检查的所有角色和权限。

  5. 可选：点击继续，然后选择要为此查询启用的所有高级选项。

  6. 在自定义查询窗格中，依次点击分析 > 运行查询。报告页面会显示您输入的查询参数，以及对指定资源拥有指定角色或权限的所有主账号的结果表。

  Google Cloud 控制台中的政策分析查询的运行时间最多为 1 分钟。一分钟后，Google Cloud 控制台会停止查询并显示所有可用结果。如果查询未在该时间内完成，Google Cloud 控制台会显示一条横幅，指明结果不完整。如需针对这些查询获取更多结果，请将结果导出到 BigQuery。

• IAM 政策分析：分析政策 API，了解哪些用户有权访问哪些资源。

  • AnalyzeIamPolicy：分析 IAM 政策，以确定哪些身份对哪些资源具有哪些访问权限。
  • AnalyzeIamPolicyLongrunning：异步分析 IAM 政策，以确定哪些身份对哪些资源拥有哪些访问权限，并将分析结果写入 Cloud Storage 或 BigQuery 目标位置。

后续步骤

• 查找可通过 Cloud Asset Inventory 获取的资源列表，然后搜索 VMware。
• 详细了解 Cloud Asset Inventory 的用途。