Cloud Asset Inventory ist ein globaler Metadaten-Inventardienst, mit dem Sie Ihre Google Cloud Asset-Metadaten mit einem Verlauf von bis zu 35 Tagen für Erstellung, Aktualisierung und Löschen aufrufen, suchen, exportieren, überwachen und analysieren können. Für Assets, die sich in den letzten 35 Tagen nicht geändert haben, wird der aktuelle Status angezeigt.
Asset-Metadaten können aus folgenden Quellen stammen:
Google Cloud Ressourcen wie Compute Engine-VM-Instanzen, Cloud Storage-Buckets und App Engine-Instanzen
Richtlinien, die für Google Cloud -Ressourcen festgelegt sind, z. B. IAM-Richtlinien, Organisationsrichtlinien und Access Context Manager-Richtlinien.
Laufzeitinformationen von OS Inventory Management
So kannst du mit deinen Assets arbeiten:
Sie können Ihre Assets und ihre Beziehungen in einem bestimmten Projekt, Ordner oder einer bestimmten Organisation auflisten und den Asset-Verlauf bis zu 35 Tage in der Vergangenheit abrufen.
Sie können nach Ihren Ressourcen und ihren IAM-Zulassungsrichtlinien mit einer benutzerdefinierten Abfragesprache suchen oder Ihre Assets mit BigQuery SQL abfragen.
Exportieren Sie Ihre Asset-Metadaten nach BigQuery oder Cloud Storage.
Analysieren, was passiert, wenn eine Ressource in ein anderes Projekt verschoben wird
Analysieren Sie Ihre IAM- und Organisationsrichtlinien für Ressourcen und rufen Sie die geltenden IAM-Richtlinien für Ressourcen auf, um zu sehen, wer Zugriff auf welche Daten hat.
Überwachen Sie Ihre Assets auf Änderungen, indem Sie einen Feed einrichten und abonnieren.
Erstellen Sie Statistiken über Ihre Assets, um die Sicherheit zu verbessern.
Asset-Typen, Asset-Namen und Inhaltstypen
Cloud Asset Inventory bietet mehrere Methoden zur Interaktion mit Ihren Assets. Je nach verwendeter Methode und gewünschten Antwortdetails musst du in deinen Anfragen möglicherweise Asset-Typen, Asset-Namen und Inhaltstypen angeben.
Asset-Typen
Einige Cloud Asset Inventory-Methoden geben Ergebnisse basierend auf Assettypen zurück. Assettypen umfassen Google Cloud Ressourcen, Richtlinien, Laufzeitinformationen des Betriebssysteminventars und Beziehungen. Die verfügbaren Asset-Typen und die Cloud Asset Inventory-Methoden, die sie unterstützen, werden unter Asset-Typen beschrieben.
Asset-Namen
Einige Cloud Asset Inventory-Methoden geben Ergebnisse basierend auf Asset-Namen zurück. Wenn Sie einen Asset-Namen angeben, müssen Sie den vollständigen Ressourcennamen verwenden. Eine Liste der vollständigen Ressourcennamen finden Sie unter Asset-Namen.
Inhaltstypen
Sie können zusätzliche Metadaten zu einer Ressource anfordern, indem Sie einen Metadaten-Inhaltstyp angeben. Wenn Sie keinen Inhaltstyp angeben, wird nur eine einfache Antwort zurückgegeben, die Informationen wie den Asset-Namen, das letzte Aktualisierungsdatum und die zugehörigen Projekte, Ordner und Organisationen enthält.
Die Namen der Inhaltstypen unterscheiden sich je nachdem, wie Sie mit Cloud Asset Inventory interagieren. Die Namen der RPC- und REST-APIs sind identisch. Die Namen der Inhaltstypen in der gcloud CLI folgen jedoch einem anderen Muster. Aus Gründen der Einheitlichkeit und zur besseren Verständlichkeit werden im Rest dieser Dokumentation die Inhaltstypen anhand ihrer RPC- und REST-Namen bezeichnet.
In der folgenden Tabelle finden Sie die Inhaltstypen und ihre Beschreibungen:
| Inhaltstyp | Beschreibung | |
|---|---|---|
| RPC- und REST-Name | Name der gcloud-Befehlszeile | |
ACCESS_POLICY |
access-policy |
Die Access Context Manager-Richtlinie, die für ein Asset festgelegt ist. |
IAM_POLICY |
iam-policy |
Die IAM-Richtlinienmetadaten, die an die Ressource gebunden sind. |
ORG_POLICY |
org-policy |
Die Metadaten der Organisationsrichtlinie, die für ein Asset festgelegt sind. Mit diesem Inhaltstyp wird die alte Version der Organisationsrichtlinie 1 ausgegeben. Für die Version 2 der Organisationsrichtlinien können Sie den Inhaltstyp resource und den Ressourcentyp orgpolicy.googleapis.com/Policy ausprobieren.
|
OS_INVENTORY |
os-inventory |
Die Informationen zum Betriebssysteminventar in der Laufzeit. Wenn Sie OS Inventory aktivieren möchten, führen Sie die entsprechenden Schritte unter VM Manager einrichten aus. |
RELATIONSHIP |
relationship |
Erfordert Zugriff auf die Premium- oder Enterprise-Stufe von Security Command Center oder auf Gemini Cloud Assist. Viele Google Cloud Assets sind durch Beziehungen miteinander verbunden. So kann beispielsweise eine Compute-Instanzgruppe eine Compute-Instanz enthalten oder ein GKE-Cluster einen Knoten. Beziehungsdaten sind ab dem 30. Mai 2022 verfügbar. Eine Beziehung kann einen eigenen Aktualisierungszeitstempel haben, da sie möglicherweise zu einem anderen Zeitpunkt abgeleitet wird als das Quell-Asset. Eine Liste der unterstützten Beziehungen finden Sie unter Beziehungstypen. |
RESOURCE |
resource |
Die Metadaten der Ressource. |
Wie sich Antworten je nach Inhaltstyp ändern
Die folgenden Beispiele zeigen, wie sich die Antworten ändern, wenn VM-Instanzen in einem Projekt über Cloud Asset Inventory mit verschiedenen Inhaltstypen aufgelistet werden.
Kein Inhaltstyp
Wenn Sie beim Auflisten von VM-Instanzen keinen Inhaltstyp angeben, erhalten Sie nur die Instanznamen, das Datum der letzten Aktualisierung und die zugehörigen Projekte, Ordner und Organisationen.
Maximieren, um Beispielantwort zu sehen
--- ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID assetType: compute.googleapis.com/Instance name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME updateTime: '2023-11-15T12:28:30.087825Z'
Inhaltstyp „IAM_POLICY“
Wenn Sie den IAM_POLICY-Inhaltstyp angeben, erhalten Sie auch die IAM-Bindungen auf der VM, falls vorhanden.
Maximieren, um Beispielantwort zu sehen
---
ancestors:
- projects/PROJECT_NUMBER
- folders/FOLDER_NUMBER
- organizations/ORGANIZATION_ID
assetType: compute.googleapis.com/Instance
iamPolicy:
bindings:
- members:
- user:USER_EMAIL_ADDRESS
role: roles/compute.securityAdmin
etag: ETAG
name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
updateTime: '2023-12-19T23:35:42.673842Z'Inhaltstyp RESOURCE
Wenn Sie den Inhaltstyp RESOURCE angeben, erhalten Sie auch alle mit der VM verknüpften Metadaten.
Maximieren, um Beispielantwort zu sehen
---
ancestors:
- projects/PROJECT_NUMBER
- folders/FOLDER_NUMBER
- organizations/ORGANIZATION_ID
assetType: compute.googleapis.com/Instance
name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
resource:
data:
allocationAffinity:
consumeAllocationType: ANY_ALLOCATION
canIpForward: false
confidentialInstanceConfig:
enableConfidentialCompute: true
cpuPlatform: AMD Rome
creationTimestamp: '2023-11-14T14:35:37.059-08:00'
deletionProtection: false
description: ''
disks:
- architecture: X86_64
autoDelete: true
boot: true
deviceName: INSTANCE_NAME
diskSizeGb: '10'
guestOsFeatures:
- type: VIRTIO_SCSI_MULTIQUEUE
- type: SEV_CAPABLE
- type: SEV_SNP_CAPABLE
- type: SEV_LIVE_MIGRATABLE
- type: UEFI_COMPATIBLE
- type: GVNIC
index: 0
interface: NVME
licenses:
- https://www.googleapis.com/compute/v1/projects/ubuntu-os-cloud/global/licenses/ubuntu-2004-lts
mode: READ_WRITE
shieldedInstanceInitialState:
dbx:
- content: DATA
fileType: BIN
dbxs:
- content: DATA
fileType: BIN
source: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/INSTANCE_NAME
type: PERSISTENT
displayDevice:
enableDisplay: false
fingerprint: FINGERPRINT
id: 'ID'
keyRevocationActionType: NONE_ON_KEY_REVOCATION
labelFingerprint: LABEL_FINGERPRINT
lastStartTimestamp: '2023-11-15T04:28:30.005-08:00'
machineType: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/machineTypes/n2d-standard-2
name: INSTANCE_NAME
networkInterfaces:
- accessConfigs:
- name: External NAT
natIP: 34.27.105.222
networkTier: PREMIUM
type: ONE_TO_ONE_NAT
fingerprint: jKU51FdTluk=
name: nic0
network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/default
networkIP: 10.128.15.212
nicType: GVNIC
stackType: IPV4_ONLY
subnetwork: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/default
reservationAffinity:
consumeReservationType: ANY_ALLOCATION
resourceStatus: {}
scheduling:
automaticRestart: true
onHostMaintenance: TERMINATE
preemptible: false
provisioningModel: STANDARD
selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
serviceAccounts:
- email: PROJECT_NUMBER-compute@developer.gserviceaccount.com
scopes:
- https://www.googleapis.com/auth/devstorage.read_only
- https://www.googleapis.com/auth/logging.write
- https://www.googleapis.com/auth/monitoring.write
- https://www.googleapis.com/auth/servicecontrol
- https://www.googleapis.com/auth/service.management.readonly
- https://www.googleapis.com/auth/trace.append
shieldedInstanceConfig:
enableIntegrityMonitoring: true
enableSecureBoot: false
enableVtpm: true
shieldedInstanceIntegrityPolicy:
updateAutoLearnPolicy: true
startRestricted: false
status: RUNNING
tags:
fingerprint: FINGERPRINT
zone: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE
discoveryDocumentUri: https://www.googleapis.com/discovery/v1/apis/compute/v1/rest
discoveryName: Instance
location: ZONE
parent: //cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER
version: v1
updateTime: '2023-11-15T12:28:30.087825Z'Inhaltstyp „RELATIONSHIP“
Für Beziehungen ist Zugriff auf die Premium- oder Enterprise-Stufe von Security Command Center oder Gemini Cloud Assist erforderlich.
Wenn Sie den Inhaltstyp RELATIONSHIP angeben, erhalten Sie auch Metadaten, die mit den zugehörigen Assets der VM-Instanz verknüpft sind.
Maximieren, um Beispielantwort zu sehen
--- ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID assetType: compute.googleapis.com/Instance name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME relatedAsset: ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID asset: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/disks/INSTANCE_NAME assetType: compute.googleapis.com/Disk relationshipType: COMPUTE_INSTANCE_USE_DISK updateTime: '2023-12-19T23:35:42.673842Z'
Wenn Sie den Inhaltstyp RELATIONSHIP verwenden, können Sie anstelle aller Beziehungen bestimmte Beziehungstypen anfordern.
Datenaktualität
Cloud Asset Inventory bietet Eventual Consistency für aktuelle Daten und Best-Effort-Konsistenz für Verlaufsdaten. Es ist zwar selten, aber möglich, dass in Cloud Asset Inventory einige Datenaktualisierungen fehlen.
Sofern nicht in der Tabelle Ressourcentypen anders angegeben, sind fast alle Asset-Änderungen innerhalb weniger Minuten verfügbar.