Asset-Inventardienste für VMware Engine

Cloud Asset Inventory bietet Inventardienste auf Basis einer Zeitreihendatenbank, mit der Sie Assetmetadaten, die mit den integrierten Ressourcen verknüpft sind, durchsuchen, exportieren und analysieren können. Cloud Asset Inventory ist ein vollständig verwalteter Inventardienst, mit dem Sie den Zugriff auf Cloud Asset Inventory-Daten bis hin zu einzelnen Ressourcen und Richtlinientypen steuern können. Sie profitieren somit von der Leistung eines zentralisierten Inventars, können jedoch zugleich bei Bedarf den Grundsatz der geringsten Berechtigung einhalten.

Wichtige VMware Engine-Ressourcen oder ‑Assets sind über die Cloud Asset API und auch über die Cloud Asset Inventory-UI unter „Identity and Access Management“ in Ihrer Google Cloud Console verfügbar. Die Cloud Asset API-Ressourcen umfassen:

• PrivateCloud
• Cluster
• VMwareEngineNetwork
• NetworkPeering
• PrivateConnection
• NetworkPolicy
• ExternalAccessRule
• ExternalAddress

Für diese Ressourcen bieten die Cloud Asset Inventory-UI und die Cloud Asset API die folgenden Funktionen:

• Suche und Sichtbarkeit:Asset-Metadaten, einschließlich der zugehörigen IAM-Richtlinien, mithilfe einer benutzerdefinierten Abfragesprache durchsuchen.

  • SearchAllResources: Durchsucht alle Google Cloud-Ressourcen im angegebenen Bereich, z. B. Projekt, Ordner oder Organisation.
  • SearchAllIamPolicies: Durchsucht alle IAM-Richtlinien im angegebenen Bereich, z. B. Projekt, Ordner oder Organisation.
  • ListAssets: Zeigt eine paginierte Liste der Assets unter einem bestimmten Zeitstempel an.
  • QueryAssets: Gibt einen Job aus, mit dem Assets mithilfe einer SQL-Anweisung abgefragt werden, die mit BigQuery SQL kompatibel ist.
  • Mit diesen APIs können Sie auch die globale Suche in derGoogle Cloud Console verwenden, um VMware Engine-Ressourcen zu finden. Verwenden Sie die globale Suchleiste, um nach dem Namen einer VMware Engine-Ressource zu suchen, die über die Cloud Asset API verfügbar ist. Die Ressource wird in der Ergebnisliste angezeigt.

  So suchen Sie mit der Cloud Asset Inventory Console nach VMware Engine-Ressourcen oder IAM-Richtlinien:

  1. Rufen Sie in der Google Cloud Console die Seite Asset Inventory auf.

  Zu Asset Inventory

  1. Um den Umfang der Suche festzulegen, öffnen Sie das Listenfeld "Projekte" in der Menüleiste und wählen Sie die abzufragende Organisation, den Ordner oder das Projekt aus.

  2. Wählen Sie den Tab Ressource oder IAM-Richtlinie aus.

  3. Setzen Sie unter Ergebnisse filtern ein Häkchen in das Kästchen neben den gewünschten Filtern.

  Die mit der Abfrage übereinstimmenden Ressourcen oder Richtlinien werden in der Tabelle Ergebnis aufgeführt.

  Wenn Sie die Abfrage als Google Cloud CLI-Befehl ansehen möchten, wählen Sie Abfrage ansehen aus.

  Wählen Sie zum Exportieren der Ergebnisse CSV-Datei herunterladen aus.

• Monitoring und Analyse:Sie können alle Asset-Metadaten mit einem bestimmten Zeitstempel oder den Änderungsverlauf von Ereignissen während eines bestimmten Zeitraums exportieren. Außerdem können Sie Asset-Änderungen überwachen, indem Sie Echtzeitbenachrichtigungen abonnieren.

  • ExportAssets: Exportiert Assets mit Zeit- und Ressourcentypen an einen bestimmten Cloud Storage-Speicherort oder in eine BigQuery-Tabelle.
  • BatchGetAssetsHistory: Ruft den Aktualisierungsverlauf von Assets ab, die sich mit einem Zeitfenster überschneiden.
  • Feed: Ein Asset-Feed, der zum Exportieren von Asset-Aktualisierungen an ein Ziel verwendet wird. Richten Sie Pub/Sub-Kanäle ein, um Echtzeitaktualisierungen zu Asset-Konfigurationsänderungen zu erhalten, weniger Exporte machen zu müssen und kontinuierliches Monitoring zu ermöglichen.

  So analysieren Sie mit der Cloud Asset Inventory Console, welche IAM-Richtlinien Zugriff auf welche Google Cloud -Ressourcen haben:

  1. Rufen Sie in der Google Cloud Console die Seite Richtlinienanalyse auf.

     Zur Seite „Richtlinienanalyse“

  2. Suchen Sie im Abschnitt Richtlinien analysieren nach dem Bereich Benutzerdefinierte Abfrage und klicken Sie in diesem Bereich auf Benutzerdefinierte Abfrage erstellen.

  3. Wählen Sie im Feld Abfragebereich auswählen das Projekt, den Ordner oder die Organisation aus, auf die Sie die Abfrage beschränken möchten. Policy Analyzer analysiert den Zugriff auf dieses Projekt, diesen Ordner oder diese Organisation sowie alle Ressourcen in diesem Projekt, Ordner oder dieser Organisation.

  4. Wählen Sie die zu prüfende Ressource und die zu prüfende Rolle oder Berechtigung aus:

     1. Wählen Sie im Feld Parameter 1 aus dem Drop-down-Menü die Option Ressource aus.
     2. Geben Sie im Feld Ressource den vollständigen Ressourcennamen der Ressource ein, für die Sie den Zugriff analysieren möchten. Wenn Sie den vollständigen Ressourcennamen nicht kennen, beginnen Sie mit der Eingabe des Anzeigenamens der Ressource und wählen Sie die Ressource aus der Liste der bereitgestellten Ressourcen aus.
     3. Klicken Sie auf add Auswahl hinzufügen.
     4. Wählen Sie im Feld Parameter 2 entweder Rolle oder Berechtigung aus.
     5. Wählen Sie im Feld Rolle auswählen oder Berechtigung auswählen die Rolle oder Berechtigung aus, die Sie prüfen möchten.
     6. Optional: Um nach zusätzlichen Rollen und Berechtigungen zu suchen, fügen Sie weitere Rollen und Berechtigungen hinzu, bis alle Rollen und Berechtigungen aufgeführt sind, die Sie prüfen möchten. abgeschlossen.

  5. Optional: Klicken Sie auf Weiter und wählen Sie alle erweiterten Optionen aus, die Sie für diese Abfrage aktivieren möchten.

  6. Klicken Sie im Bereich Benutzerdefinierte Abfrage auf Analysieren > Abfrage ausführen. Auf der Seite „Berichte“ werden die von Ihnen eingegebenen Abfrageparameter und eine Ergebnistabelle aller Hauptkonten mit den angegebenen Rollen oder Berechtigungen für die angegebene Ressource angezeigt.

  Abfragen zur Richtlinienanalyse in der Google Cloud -Konsole werden bis zu einer Minute lang ausgeführt. Nach einer Minute beendet die Google Cloud Konsole die Abfrage und zeigt alle verfügbaren Ergebnisse an. Wenn die Abfrage nicht innerhalb dieses Zeitraums abgeschlossen wurde, wird in der Google Cloud Konsole ein Banner angezeigt, das darauf hinweist, dass die Ergebnisse unvollständig sind. Wenn Sie mehr Ergebnisse für diese Abfragen erhalten möchten, exportieren Sie die Ergebnisse nach BigQuery.

• IAM-Richtlinienanalyse:Richtlinien-APIs analysieren, um herauszufinden, wer Zugriff auf welche Daten hat.

  • AnalyzeIamPolicy: Analysiert IAM-Richtlinien, um zu ermitteln, welche Identitäten welchen Zugriff auf welche Ressourcen haben.
  • AnalyzeIamPolicyLongrunning: Analysiert IAM-Richtlinien asynchron, um zu ermitteln, welche Identitäten welchen Zugriff auf welche Ressourcen haben, und schreibt die Analyseergebnisse in ein Cloud Storage- oder BigQuery-Ziel.

Nächste Schritte

• Liste der mit Cloud Asset Inventory verfügbaren Ressourcen aufrufen und nach VMware suchen.
• Weitere Informationen zu Cloud Asset Inventory