Inventaris Aset Cloud adalah layanan inventaris metadata global yang memungkinkan Anda melihat, menelusuri, mengekspor, memantau, dan menganalisis Google Cloud metadata aset, dengan histori pembuatan, pembaruan, dan penghapusan hingga 35 hari. Aset yang tidak berubah dalam 35 hari terakhir akan melaporkan status terbarunya.
Metadata aset dapat berasal dari tempat berikut:
ResourceGoogle Cloud , seperti instance VM Compute Engine, bucket Cloud Storage, dan instance App Engine.
Kebijakan yang ditetapkan pada resource Google Cloud , seperti kebijakan IAM, kebijakan organisasi, dan kebijakan Access Context Manager.
Informasi runtime dari OS inventory management.
Berikut cara menggunakan aset:
Cantumkan aset Anda dan hubungannya dalam project, folder, atau organisasi tertentu, dan dapatkan histori aset hingga 35 hari yang lalu.
Telusuri resource Anda dan kebijakan izin IAM-nya menggunakan bahasa kueri kustom, atau buat kueri aset Anda dengan BigQuery SQL.
Ekspor metadata aset Anda ke BigQuery atau Cloud Storage.
Analisis apa yang akan terjadi jika resource dipindahkan ke project lain.
Analisis kebijakan IAM dan organisasi Anda pada resource, dan Lihat kebijakan IAM yang efektif pada resource untuk melihat siapa yang memiliki akses ke apa.
Pantau aset Anda untuk melihat perubahan dengan menyiapkan dan berlangganan feed.
Buat insight dari aset Anda untuk membantu meningkatkan postur keamanan Anda.
Jenis aset, nama aset, dan jenis konten
Cloud Asset Inventory menawarkan beberapa metode untuk berinteraksi dengan aset Anda. Bergantung pada metode yang Anda gunakan dan detail respons yang Anda inginkan, Anda mungkin perlu menentukan jenis aset, nama aset, dan jenis konten dalam permintaan.
Jenis aset
Beberapa metode Inventaris Aset Cloud menampilkan hasil berdasarkan jenis aset. Jenis aset mencakup Google Cloud resource, kebijakan, informasi runtime inventaris OS, dan hubungan. Jenis aset yang tersedia dan metode Inventaris Aset Cloud yang mendukungnya dijelaskan dalam Jenis aset.
Nama aset
Beberapa metode Inventaris Aset Cloud menampilkan hasil berdasarkan nama aset. Saat menentukan nama aset, Anda harus menggunakan nama resource lengkapnya. Lihat Nama aset untuk mengetahui daftar nama resource lengkap.
Jenis konten
Anda dapat meminta metadata tambahan pada resource dengan menentukan jenis konten metadata. Jika Anda tidak menentukan jenis konten, hanya respons dasar yang ditampilkan, yang berisi informasi seperti nama aset, waktu terakhir diperbarui, dan project, folder, serta organisasi tempat aset tersebut berada.
Nama jenis konten berbeda-beda bergantung pada cara Anda berinteraksi dengan Inventaris Aset Cloud. Nama RPC dan REST API sama. Namun, nama jenis konten gcloud CLI mengikuti pola yang berbeda. Untuk konsistensi dan kemudahan penjelasan, bagian lain dari dokumentasi ini merujuk pada jenis konten berdasarkan nama RPC dan REST-nya.
Tabel berikut menjelaskan jenis konten dan deskripsinya:
| Jenis konten | Deskripsi | |
|---|---|---|
| Nama RPC dan REST | Nama gcloud CLI | |
ACCESS_POLICY |
access-policy |
Kebijakan Access Context Manager yang ditetapkan pada aset. |
IAM_POLICY |
iam-policy |
Metadata kebijakan IAM yang terikat ke resource. |
ORG_POLICY |
org-policy |
Metadata kebijakan organisasi yang ditetapkan pada aset. Jenis konten ini
menghasilkan kebijakan organisasi lama v1. Untuk kebijakan organisasi v2, coba
jenis konten resource dan jenis resource
orgpolicy.googleapis.com/Policy.
|
OS_INVENTORY |
os-inventory |
Informasi inventaris OS runtime. Untuk mengaktifkan inventaris OS, selesaikan langkah-langkah yang relevan di Menyiapkan VM Manager. |
RELATIONSHIP |
relationship |
Memerlukan akses ke paket Security Command Center Premium atau Enterprise, atau Gemini Cloud Assist. Banyak Google Cloud aset terhubung satu sama lain melalui hubungan. Misalnya, grup instance Compute dapat berisi instance Compute, atau cluster GKE dapat berisi node. Data hubungan tersedia mulai 30 Mei 2022. Hubungan mungkin memiliki stempel waktu pembaruan sendiri, karena mungkin disimpulkan pada waktu yang berbeda dengan pembaruan aset sumber. Lihat Jenis hubungan untuk mengetahui daftar hubungan yang didukung. |
RESOURCE |
resource |
Metadata resource. |
Perubahan respons berdasarkan jenis konten
Contoh berikut menunjukkan bagaimana respons berubah saat mencantumkan instance VM dalam project melalui Inventaris Aset Cloud dengan jenis konten yang berbeda.
Tidak ada jenis konten
Jika tidak menentukan jenis konten saat mencantumkan instance VM, Anda hanya akan menerima nama instance, waktu terakhir kali diupdate, serta project, folder, dan organisasi tempat instance tersebut berada.
Luaskan untuk melihat contoh respons
--- ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID assetType: compute.googleapis.com/Instance name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME updateTime: '2023-11-15T12:28:30.087825Z'
Jenis konten IAM_POLICY
Jika menentukan jenis konten IAM_POLICY, Anda juga akan menerima
binding IAM di VM, jika ada.
Luaskan untuk melihat contoh respons
---
ancestors:
- projects/PROJECT_NUMBER
- folders/FOLDER_NUMBER
- organizations/ORGANIZATION_ID
assetType: compute.googleapis.com/Instance
iamPolicy:
bindings:
- members:
- user:USER_EMAIL_ADDRESS
role: roles/compute.securityAdmin
etag: ETAG
name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
updateTime: '2023-12-19T23:35:42.673842Z'Jenis konten RESOURCE
Jika menentukan jenis konten RESOURCE, Anda juga akan menerima semua metadata
yang terkait dengan VM.
Luaskan untuk melihat contoh respons
---
ancestors:
- projects/PROJECT_NUMBER
- folders/FOLDER_NUMBER
- organizations/ORGANIZATION_ID
assetType: compute.googleapis.com/Instance
name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
resource:
data:
allocationAffinity:
consumeAllocationType: ANY_ALLOCATION
canIpForward: false
confidentialInstanceConfig:
enableConfidentialCompute: true
cpuPlatform: AMD Rome
creationTimestamp: '2023-11-14T14:35:37.059-08:00'
deletionProtection: false
description: ''
disks:
- architecture: X86_64
autoDelete: true
boot: true
deviceName: INSTANCE_NAME
diskSizeGb: '10'
guestOsFeatures:
- type: VIRTIO_SCSI_MULTIQUEUE
- type: SEV_CAPABLE
- type: SEV_SNP_CAPABLE
- type: SEV_LIVE_MIGRATABLE
- type: UEFI_COMPATIBLE
- type: GVNIC
index: 0
interface: NVME
licenses:
- https://www.googleapis.com/compute/v1/projects/ubuntu-os-cloud/global/licenses/ubuntu-2004-lts
mode: READ_WRITE
shieldedInstanceInitialState:
dbx:
- content: DATA
fileType: BIN
dbxs:
- content: DATA
fileType: BIN
source: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/INSTANCE_NAME
type: PERSISTENT
displayDevice:
enableDisplay: false
fingerprint: FINGERPRINT
id: 'ID'
keyRevocationActionType: NONE_ON_KEY_REVOCATION
labelFingerprint: LABEL_FINGERPRINT
lastStartTimestamp: '2023-11-15T04:28:30.005-08:00'
machineType: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/machineTypes/n2d-standard-2
name: INSTANCE_NAME
networkInterfaces:
- accessConfigs:
- name: External NAT
natIP: 34.27.105.222
networkTier: PREMIUM
type: ONE_TO_ONE_NAT
fingerprint: jKU51FdTluk=
name: nic0
network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/default
networkIP: 10.128.15.212
nicType: GVNIC
stackType: IPV4_ONLY
subnetwork: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/default
reservationAffinity:
consumeReservationType: ANY_ALLOCATION
resourceStatus: {}
scheduling:
automaticRestart: true
onHostMaintenance: TERMINATE
preemptible: false
provisioningModel: STANDARD
selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
serviceAccounts:
- email: PROJECT_NUMBER-compute@developer.gserviceaccount.com
scopes:
- https://www.googleapis.com/auth/devstorage.read_only
- https://www.googleapis.com/auth/logging.write
- https://www.googleapis.com/auth/monitoring.write
- https://www.googleapis.com/auth/servicecontrol
- https://www.googleapis.com/auth/service.management.readonly
- https://www.googleapis.com/auth/trace.append
shieldedInstanceConfig:
enableIntegrityMonitoring: true
enableSecureBoot: false
enableVtpm: true
shieldedInstanceIntegrityPolicy:
updateAutoLearnPolicy: true
startRestricted: false
status: RUNNING
tags:
fingerprint: FINGERPRINT
zone: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE
discoveryDocumentUri: https://www.googleapis.com/discovery/v1/apis/compute/v1/rest
discoveryName: Instance
location: ZONE
parent: //cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER
version: v1
updateTime: '2023-11-15T12:28:30.087825Z'Jenis konten RELATIONSHIP
Hubungan memerlukan akses ke tingkat Security Command Center Premium atau Enterprise, atau Gemini Cloud Assist.
Jika menentukan jenis konten RELATIONSHIP, Anda juga akan menerima metadata
yang terkait dengan aset terkait instance VM.
Luaskan untuk melihat contoh respons
--- ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID assetType: compute.googleapis.com/Instance name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME relatedAsset: ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID asset: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/disks/INSTANCE_NAME assetType: compute.googleapis.com/Disk relationshipType: COMPUTE_INSTANCE_USE_DISK updateTime: '2023-12-19T23:35:42.673842Z'
Saat menggunakan jenis konten RELATIONSHIP, Anda dapat meminta
jenis hubungan tertentu, bukan meminta semua
hubungan.
Keaktualan data
Cloud Asset Inventory memberikan konsistensi akhir pada data saat ini dan konsistensi upaya terbaik pada data historis. Meskipun jarang terjadi, Inventaris Aset Cloud dapat melewatkan beberapa update data.
Kecuali jika dinyatakan dalam tabel jenis resource, hampir semua pembaruan aset tersedia dalam hitungan menit.