VMware Engine 的資產目錄服務

Cloud Asset Inventory 提供以時間序列資料庫為基礎的儲存服務，可讓您搜尋、匯出及分析與已納入資源相關聯的資產中繼資料。Cloud Asset Inventory 是一項全代管的資產庫服務，您可以控管 Cloud Asset Inventory 資料的存取權，最小控管單位為各個資源與政策類型。如此一來，您不僅可享有集中式資產目錄的強大功能，也能視情況採用「最低權限」控管方法。

您可以透過 Cloud Asset API 取得主要的 VMware Engine 資源或資產，也可以在 Google Cloud 控制台 的「Identity and Access Management」下，使用 Cloud Asset Inventory UI 取得這些資源或資產。Cloud Asset API 資源包括：

• PrivateCloud
• 叢集
• VMwareEngineNetwork
• NetworkPeering
• PrivateConnection
• NetworkPolicy
• ExternalAccessRule
• ExternalAddress

針對這些資源，Cloud Asset Inventory UI 和 Cloud Asset API 可啟用下列功能：

• 搜尋和顯示：使用自訂查詢語言搜尋資產中繼資料，包括與其相關聯的 IAM 政策。

  • SearchAllResources：搜尋指定範圍 (例如專案、資料夾或機構) 內的所有 Google Cloud資源。
  • SearchAllIamPolicies：搜尋指定範圍 (例如專案、資料夾或機構) 內的所有身分與存取權管理政策。
  • ListAssets：查看指定時間戳記的資產分頁清單。
  • QueryAssets：發出工作，使用與 BigQuery SQL 相容的 SQL 陳述式查詢資產。
  • 這些 API 還可讓您在Google Cloud 控制台 上使用全球搜尋功能，找出 VMware Engine 資源。使用全域搜尋列，搜尋透過 Cloud Asset API 提供的任何 VMware Engine 資源名稱。資源會顯示在結果清單中。

  如要使用 Cloud Asset Inventory 主控台搜尋 VMware Engine 資源或 IAM 政策，請按照下列步驟操作：

  1. 前往 Google Cloud 控制台的「資產資源庫」頁面。

  前往 Asset Inventory

  1. 如要設定搜尋範圍，請開啟選單列中的「Projects」(專案) 清單方塊，然後選取要查詢的機構、資料夾或專案。

  2. 選取「資源」或「IAM 政策」分頁標籤。

  3. 如要「篩選結果」，請勾選所選篩選器旁的方塊。

  與查詢相符的資源或政策會列在「結果」表格中。

  如要以 Google Cloud CLI 指令查看查詢，請選取「查看查詢」。

  如要匯出結果，請選取「下載 CSV」。

• 監控和分析：您可以匯出特定時間戳記的所有資產中繼資料，或匯出特定時間範圍內的事件變更記錄。此外，您也可以訂閱即時通知，監控素材資源變更。

  • ExportAssets：將含有時間和資源類型的資產匯出至指定的 Cloud Storage 位置或 BigQuery 資料表。
  • BatchGetAssetsHistory：批次取得與時間範圍重疊的資產更新記錄。
  • 動態饋給：用於將資產更新匯出至目的地的資產動態饋給。設定 Cloud Pub/Sub 管道，即時接收任何資產設定變更的最新消息、降低資料匯出頻率，並輕鬆持續監控資產。

  如要使用 Cloud Asset Inventory 主控台分析哪些 IAM 政策具備哪些 Google Cloud 資源的存取權，請執行下列操作：

  1. 在 Google Cloud 控制台中，前往「Policy Analyzer」頁面。

     前往「Policy Analyzer」頁面

  2. 在「分析政策」部分，找出標示為「自訂查詢」的窗格，然後按一下該窗格中的「建立自訂查詢」。

  3. 在「Select query scope」欄位中，選取要將查詢範圍設為的專案、資料夾或機構。Policy Analyzer 會分析該專案、資料夾或機構的存取權，以及該專案、資料夾或機構中的任何資源。

  4. 請選擇要檢查的資源，以及要檢查的角色或權限：

     1. 在「參數 1」欄位中，從下拉式選單中選取「資源」。
     2. 在「Resource」欄位中，輸入要分析存取權的資源完整資源名稱。如果不知道完整資源名稱，請開始輸入資源的顯示名稱，然後從提供的資源清單中選取資源。
     3. 按一下 add「新增選取器」。
     4. 在「參數 2」欄位中，選取「角色」或「權限」。
     5. 在「Select a role」(請選取角色)或「Select a permission」(請選取權限)欄位中，選取要檢查的角色或權限。
     6. 選用：如要檢查其他角色和權限，請繼續新增角色和權限選取器，直到列出所有要檢查的角色和權限為止。

  5. 選用步驟：按一下「繼續」，然後選取要為此查詢啟用的任何進階選項。

  6. 在「自訂查詢」窗格中，依序點選「分析」>「執行查詢」。報表頁面會顯示您輸入的查詢參數，以及結果表格，列出在指定資源上具備指定角色或權限的所有主體。

  Google Cloud 主控台中的政策分析查詢最多可執行一分鐘。一分鐘後， Google Cloud 主控台會停止查詢並顯示所有可用結果。如果查詢未在該時間內完成， Google Cloud 控制台會顯示橫幅，指出結果不完整。如要取得這些查詢的更多結果，請將結果匯出至 BigQuery。

• IAM 政策分析： 分析政策 API，找出哪些使用者具備哪些存取權。

  • AnalyzeIamPolicy：分析 IAM 政策，回答哪些身分具備哪些存取權，可以存取哪些資源。
  • AnalyzeIamPolicyLongrunning：以非同步方式分析 IAM 政策，回答哪些身分有哪些資源的存取權，並將分析結果寫入 Cloud Storage 或 BigQuery 目的地。

後續步驟

• 查看可透過 Cloud Asset Inventory 取得的資源清單，然後搜尋 VMware。
• 進一步瞭解如何使用 Cloud Asset Inventory。