Servizi di inventario asset per VMware Engine

Cloud Asset Inventory fornisce servizi di inventario basati su un database di serie temporali che consente di cercare, esportare e analizzare i metadati degli asset associati alle risorse di cui è stato eseguito l'onboarding. Cloud Asset Inventory è un servizio di inventario completamente gestito in cui puoi controllare l'accesso ai dati di Cloud Asset Inventory fino al livello di singolo tipo di risorsa e criterio. In questo modo puoi sfruttare la potenza di un inventario centralizzato e, allo stesso tempo, ottenere solo privilegio minimo necessari.

Le risorse o gli asset chiave di VMware Engine sono disponibili tramite l'API Cloud Asset e anche tramite la UI di Cloud Asset Inventory in Identity and Access Management nella console Google Cloud . Le risorse dell'API Cloud Asset includono:

• PrivateCloud
• Cluster
• VMwareEngineNetwork
• NetworkPeering
• PrivateConnection
• NetworkPolicy
• ExternalAccessRule
• ExternalAddress

Per queste risorse, la UI di Cloud Asset Inventory e l'API Cloud Asset consentono le seguenti funzionalità:

• Ricerca e visibilità:cerca i metadati degli asset, incluse le policy IAM associate, utilizzando un linguaggio di query personalizzato.

  • SearchAllResources: cerca tutte le risorse Google Cloud all'interno dell'ambito specificato, ad esempio progetto, cartella o organizzazione.
  • SearchAllIamPolicies: cerca tutti i criteri IAM all'interno dell'ambito specificato, ad esempio progetto, cartella o organizzazione.
  • ListAssets: visualizza un elenco paginato degli asset in un timestamp specifico.
  • QueryAssets: invia un job che esegue query sugli asset utilizzando un'istruzione SQL compatibile con BigQuery SQL.
  • Queste API ti consentono anche di utilizzare la ricerca globale nella consoleGoogle Cloud per trovare risorse VMware Engine. Utilizza la barra di ricerca globale per cercare il nome di qualsiasi risorsa VMware Engine disponibile tramite l'API Cloud Asset. La risorsa viene visualizzata nell'elenco dei risultati.

  Per cercare risorse VMware Engine o criteri IAM utilizzando la console Cloud Asset Inventory:

  1. Vai alla pagina Inventario asset nella console Google Cloud .

  Vai ad Asset Inventory

  1. Per impostare l'ambito della ricerca, apri la casella di riepilogo Progetti nella barra dei menu e seleziona l'organizzazione, la cartella o il progetto da interrogare.

  2. Seleziona la scheda Risorsa o Policy IAM.

  3. Per Filtra risultati, seleziona la casella accanto ai filtri scelti.

  Le risorse o le policy che corrispondono alla query sono elencate nella tabella Risultati.

  Per visualizzare la query come comando Google Cloud CLI, seleziona Visualizza query.

  Per esportare i risultati, seleziona Scarica CSV.

• Monitoraggio e analisi:puoi esportare tutti i metadati delle risorse in un determinato timestamp o esportare la cronologia delle modifiche agli eventi in un periodo di tempo specifico. Inoltre, puoi monitorare le modifiche agli asset iscrivendoti alle notifiche in tempo reale.

  • ExportAssets: esporta gli asset con tipi di risorse e ora in una determinata posizione Cloud Storage o tabella BigQuery.
  • BatchGetAssetsHistory: recupera in batch la cronologia degli aggiornamenti degli asset che si sovrappongono a un intervallo di tempo.
  • Feed: un feed degli asset utilizzato per esportare gli aggiornamenti degli asset in una destinazione. Configura canali Pub/Sub per ricevere aggiornamenti in tempo reale su qualsiasi modifica alla configurazione degli asset, ridurre la frequenza delle esportazioni e realizzare il monitoraggio continuo.

  Per analizzare quali policy IAM hanno accesso a quali risorse Google Cloud utilizzando la console Cloud Asset Inventory:

  1. Nella console Google Cloud , vai alla pagina Policy Analyzer.

     Vai alla pagina Analizzatore criteri

  2. Nella sezione Analizza norme, individua il riquadro etichettato Query personalizzata e fai clic su Crea query personalizzata.

  3. Nel campo Seleziona ambito query, seleziona il progetto, la cartella o l'organizzazione a cui vuoi limitare l'ambito della query. Policy Analyzer analizzerà l'accesso per il progetto, la cartella o l'organizzazione, nonché per tutte le risorse all'interno del progetto, della cartella o dell'organizzazione.

  4. Scegli la risorsa da controllare e il ruolo o l'autorizzazione da verificare:

     1. Nel campo Parametro 1, seleziona Risorsa dal menu a discesa.
     2. Nel campo Risorsa, inserisci il nome completo della risorsa per cui vuoi analizzare l'accesso. Se non conosci il nome completo della risorsa, inizia a digitare il nome visualizzato della risorsa, quindi selezionala dall'elenco delle risorse fornite.
     3. Fai clic su add Aggiungi selettore.
     4. Nel campo Parametro 2, seleziona Ruolo o Autorizzazione.
     5. Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, seleziona il ruolo o l'autorizzazione che vuoi controllare.
     6. (Facoltativo) Per verificare la presenza di altri ruoli e autorizzazioni, continua ad aggiungere selettori di Ruolo e Autorizzazione finché non sono elencati tutti i ruoli e le autorizzazioni che vuoi controllare.

  5. (Facoltativo) Fai clic su Continua, poi seleziona le opzioni avanzate che vuoi attivare per questa query.

  6. Nel riquadro Query personalizzata, fai clic su Analizza > Esegui query. La pagina del report mostra i parametri di ricerca inseriti e una tabella dei risultati di tutte le entità con i ruoli o le autorizzazioni specificati nella risorsa specificata.

  Le query di analisi delle policy nella console Google Cloud vengono eseguite per un massimo di un minuto. Dopo un minuto, la console Google Cloud interrompe la query e mostra tutti i risultati disponibili. Se la query non è stata completata entro questo periodo di tempo, la console Google Cloud mostra un banner che indica che i risultati sono incompleti. Per ottenere più risultati per queste query, esporta i risultati in BigQuery.

• Analisi dei criteri IAM:analizza le API dei criteri per scoprire chi ha accesso a cosa.

  • AnalyzeIamPolicy: analizza le policy IAM per rispondere alla domanda su quali identità hanno quali accessi a quali risorse.
  • AnalyzeIamPolicyLongrunning: analizza i criteri IAM in modo asincrono per rispondere a quali identità hanno quali accessi a quali risorse e scrive i risultati dell'analisi in una destinazione Cloud Storage o BigQuery.

Passaggi successivi

• Trova l'elenco delle risorse disponibili utilizzando Cloud Asset Inventory e cerca VMware.
• Scopri di più su cosa puoi fare con Cloud Asset Inventory.