Inventaris Aset Cloud adalah layanan inventaris metadata global yang memungkinkan Anda melihat, menelusuri, mengekspor, memantau, dan menganalisis metadata aset Anda. Google Cloud Tugas yang dapat Anda gunakan Cloud Asset Inventory untuk melakukannya meliputi:
- Penemuan dan pengelolaan resource: memfilter menurut properti metadata seperti lokasi, waktu pembuatan, tag, dan status.
- Pemantauan resource: melacak perubahan pada resource dari waktu ke waktu untuk membuat jejak audit, men-debug masalah, dan mengelola penyimpangan kepatuhan.
- Audit keamanan dan biaya: temukan resource yang memiliki izin berlebih, terekspos secara publik, atau tidak digunakan untuk meminimalkan area serangan dan mengoptimalkan biaya.
Histori pembuatan, update, dan penghapusan aset disimpan hingga 35 hari. Aset yang tidak berubah dalam 35 hari terakhir akan menampilkan status terbarunya.
Bekerja dengan aset di Google Cloud
Berikut cara Anda dapat bekerja dengan aset:
Mencantumkan aset Anda dan hubungannya dalam project, folder, atau organisasi tertentu, dan mendapatkan histori aset hingga 35 hari sebelumnya.
Cari resource Anda dan kebijakan izin IAM-nya menggunakan bahasa kueri kustom, atau kueri aset Anda dengan BigQuery SQL.
Ekspor metadata aset Anda ke BigQuery atau Cloud Storage.
Analisis apa yang akan terjadi jika resource dipindahkan ke project lain.
Menganalisis kebijakan IAM dan organisasi Anda pada resource, dan Melihat kebijakan IAM efektif Anda pada resource untuk melihat siapa yang memiliki akses ke apa.
Pantau perubahan aset Anda dengan menyiapkan dan berlangganan feed.
Hasilkan insight dari aset Anda untuk membantu meningkatkan postur keamanan Anda.
Sumber metadata aset
Metadata aset dapat berasal dari tempat berikut:
Google Cloud resource, seperti instance VM Compute Engine, bucket Cloud Storage, dan instance App Engine.
Kebijakan yang ditetapkan pada resource Google Cloud , seperti kebijakan IAM, kebijakan organisasi, dan kebijakan Access Context Manager.
Informasi runtime dari OS inventory management.
Jenis aset, nama aset, dan jenis konten
Inventaris Aset Cloud menawarkan beberapa metode untuk berinteraksi dengan aset Anda. Bergantung pada metode yang Anda gunakan dan detail respons yang Anda inginkan, Anda mungkin perlu menentukan jenis aset, nama aset, dan jenis konten dalam permintaan Anda.
Jenis aset
Beberapa metode Inventaris Aset Cloud menampilkan hasil berdasarkan jenis aset. Jenis aset mencakup resource, kebijakan, informasi runtime inventaris OS, dan hubungan. Google Cloud Jenis aset yang tersedia dan metode Inventaris Aset Cloud yang mendukungnya dijelaskan dalam Jenis aset.
Nama aset
Beberapa metode Inventaris Aset Cloud menampilkan hasil berdasarkan nama aset. Saat menentukan nama aset, Anda harus menggunakan nama resource lengkapnya. Lihat Nama aset untuk mengetahui daftar nama resource lengkap.
Jenis konten
Anda dapat meminta metadata tambahan pada resource dengan menentukan jenis konten metadata. Jika Anda tidak menentukan jenis konten, hanya respons dasar yang ditampilkan, yang berisi informasi seperti nama aset, terakhir kali aset tersebut diperbarui, serta project, folder, dan organisasi tempat aset tersebut berada.
Nama jenis konten berbeda-beda bergantung pada cara Anda berinteraksi dengan Inventaris Aset Cloud. Nama RPC dan REST API sama. Namun, nama jenis konten gcloud CLI mengikuti pola yang berbeda. Untuk konsistensi dan kemudahan penjelasan, bagian lain dari dokumentasi ini merujuk jenis konten berdasarkan nama RPC dan REST-nya.
Tabel berikut menjelaskan jenis konten dan deskripsinya:
| Jenis konten | Deskripsi | |
|---|---|---|
| Nama RPC dan REST | Nama gcloud CLI | |
ACCESS_POLICY |
access-policy |
Kebijakan Access Context Manager yang ditetapkan pada aset. |
IAM_POLICY |
iam-policy |
Binding metadata kebijakan IAM ke resource. |
ORG_POLICY |
org-policy |
Metadata kebijakan organisasi yang ditetapkan pada aset. Jenis konten ini
menghasilkan kebijakan organisasi lama v1. Untuk kebijakan organisasi v2, coba
jenis konten resource dan jenis resource
orgpolicy.googleapis.com/Policy.
|
OS_INVENTORY |
os-inventory |
Informasi inventaris OS runtime. Untuk mengaktifkan inventaris OS, selesaikan langkah-langkah yang relevan di Menyiapkan VM Manager. |
RELATIONSHIP |
relationship |
Memerlukan akses ke paket Security Command Center Premium atau Enterprise, atau Gemini Cloud Assist. Banyak Google Cloud aset terhubung satu sama lain melalui hubungan. Misalnya, grup instance Compute dapat berisi instance Compute, atau cluster GKE dapat berisi node. Data hubungan tersedia mulai 30 Mei 2022. Hubungan mungkin memiliki stempel waktu pembaruannya sendiri, karena mungkin disimpulkan pada waktu yang berbeda dengan pembaruan aset sumber. Lihat Jenis hubungan untuk mengetahui daftar hubungan yang didukung. |
RESOURCE |
resource |
Metadata resource. |
Cara respons berubah dengan jenis konten
Contoh berikut menunjukkan cara respons berubah saat mencantumkan instance VM dalam project melalui Inventaris Aset Cloud dengan berbagai jenis konten.
Tidak ada jenis konten
Jika Anda tidak menentukan jenis konten saat mencantumkan instance VM, Anda hanya akan menerima nama instance, waktu terakhir kali instance tersebut diperbarui, serta project, folder, dan organisasi tempat instance tersebut berada.
Luaskan untuk melihat contoh respons
--- ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID assetType: compute.googleapis.com/Instance name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME updateTime: '2023-11-15T12:28:30.087825Z'
Jenis konten IAM_POLICY
Jika Anda menentukan jenis konten IAM_POLICY, Anda juga akan menerima binding IAM di VM, jika ada.
Luaskan untuk melihat contoh respons
---
ancestors:
- projects/PROJECT_NUMBER
- folders/FOLDER_NUMBER
- organizations/ORGANIZATION_ID
assetType: compute.googleapis.com/Instance
iamPolicy:
bindings:
- members:
- user:USER_EMAIL_ADDRESS
role: roles/compute.securityAdmin
etag: ETAG
name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
updateTime: '2023-12-19T23:35:42.673842Z'Jenis konten HUBUNGAN
Hubungan memerlukan akses ke tingkat Security Command Center Premium atau Enterprise, atau Gemini Cloud Assist.
Jika Anda menentukan jenis konten RELATIONSHIP, Anda juga akan menerima metadata yang terkait dengan aset terkait instance VM.
Luaskan untuk melihat contoh respons
--- ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID assetType: compute.googleapis.com/Instance name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME relatedAsset: ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID asset: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/disks/INSTANCE_NAME assetType: compute.googleapis.com/Disk relationshipType: COMPUTE_INSTANCE_USE_DISK updateTime: '2023-12-19T23:35:42.673842Z'
Saat menggunakan jenis konten RELATIONSHIP, alih-alih meminta semua
hubungan, Anda dapat meminta
jenis hubungan tertentu.
Jenis konten RESOURCE
Jika Anda menentukan jenis konten RESOURCE, Anda juga akan menerima semua metadata yang terkait dengan VM.
Luaskan untuk melihat contoh respons
---
ancestors:
- projects/PROJECT_NUMBER
- folders/FOLDER_NUMBER
- organizations/ORGANIZATION_ID
assetType: compute.googleapis.com/Instance
name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
resource:
data:
allocationAffinity:
consumeAllocationType: ANY_ALLOCATION
canIpForward: false
confidentialInstanceConfig:
enableConfidentialCompute: true
cpuPlatform: AMD Rome
creationTimestamp: '2023-11-14T14:35:37.059-08:00'
deletionProtection: false
description: ''
disks:
- architecture: X86_64
autoDelete: true
boot: true
deviceName: INSTANCE_NAME
diskSizeGb: '10'
guestOsFeatures:
- type: VIRTIO_SCSI_MULTIQUEUE
- type: SEV_CAPABLE
- type: SEV_SNP_CAPABLE
- type: SEV_LIVE_MIGRATABLE
- type: UEFI_COMPATIBLE
- type: GVNIC
index: 0
interface: NVME
licenses:
- https://www.googleapis.com/compute/v1/projects/ubuntu-os-cloud/global/licenses/ubuntu-2004-lts
mode: READ_WRITE
shieldedInstanceInitialState:
dbx:
- content: DATA
fileType: BIN
dbxs:
- content: DATA
fileType: BIN
source: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/INSTANCE_NAME
type: PERSISTENT
displayDevice:
enableDisplay: false
fingerprint: FINGERPRINT
id: 'ID'
keyRevocationActionType: NONE_ON_KEY_REVOCATION
labelFingerprint: LABEL_FINGERPRINT
lastStartTimestamp: '2023-11-15T04:28:30.005-08:00'
machineType: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/machineTypes/n2d-standard-2
name: INSTANCE_NAME
networkInterfaces:
- accessConfigs:
- name: External NAT
natIP: 34.27.105.222
networkTier: PREMIUM
type: ONE_TO_ONE_NAT
fingerprint: jKU51FdTluk=
name: nic0
network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/default
networkIP: 10.128.15.212
nicType: GVNIC
stackType: IPV4_ONLY
subnetwork: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/default
reservationAffinity:
consumeReservationType: ANY_ALLOCATION
resourceStatus: {}
scheduling:
automaticRestart: true
onHostMaintenance: TERMINATE
preemptible: false
provisioningModel: STANDARD
selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
serviceAccounts:
- email: PROJECT_NUMBER-compute@developer.gserviceaccount.com
scopes:
- https://www.googleapis.com/auth/devstorage.read_only
- https://www.googleapis.com/auth/logging.write
- https://www.googleapis.com/auth/monitoring.write
- https://www.googleapis.com/auth/servicecontrol
- https://www.googleapis.com/auth/service.management.readonly
- https://www.googleapis.com/auth/trace.append
shieldedInstanceConfig:
enableIntegrityMonitoring: true
enableSecureBoot: false
enableVtpm: true
shieldedInstanceIntegrityPolicy:
updateAutoLearnPolicy: true
startRestricted: false
status: RUNNING
tags:
fingerprint: FINGERPRINT
zone: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE
discoveryDocumentUri: https://www.googleapis.com/discovery/v1/apis/compute/v1/rest
discoveryName: Instance
location: ZONE
parent: //cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER
version: v1
updateTime: '2023-11-15T12:28:30.087825Z'Keaktualan data
Inventaris Aset Cloud memberikan konsistensi akhir pada data saat ini dan konsistensi upaya terbaik pada data historis. Meskipun jarang terjadi, ada kemungkinan Inventaris Aset Cloud dapat melewatkan beberapa update data.
Kecuali dinyatakan dalam tabel jenis aset, hampir semua pembaruan aset tersedia dalam hitungan menit.