Services d'inventaire des ressources pour VMware Engine

Inventaire des éléments cloud fournit des services d'inventaire basés sur une base de données de séries temporelles qui vous permet de rechercher, d'exporter et d'analyser les métadonnées d'éléments associés aux ressources intégrées. L'inventaire des éléments cloud est un service d'inventaire entièrement géré qui vous permet de contrôler l'accès aux données de l'inventaire des éléments cloud jusqu'à la moindre ressource et au moindre type de stratégie. Ainsi, vous profitez du potentiel d'un inventaire centralisé tout en ayant la possibilité d'appliquer le principe du moindre privilège en cas de besoin.

Les principales ressources ou principaux composants VMware Engine sont disponibles via l'API Cloud Asset et l'interface utilisateur Cloud Asset Inventory sous Identity and Access Management dans votre console Google Cloud . Les ressources de l'API Cloud Asset incluent les éléments suivants :

• PrivateCloud
• Cluster
• VMwareEngineNetwork
• NetworkPeering
• PrivateConnection
• NetworkPolicy
• ExternalAccessRule
• ExternalAddress

Pour ces ressources, l'UI Cloud Asset Inventory et l'API Cloud Asset permettent les fonctionnalités suivantes :

• Recherche et visibilité : recherchez les métadonnées des composants, y compris les règles IAM qui y sont associées, à l'aide d'un langage de requête personnalisé.

  • SearchAllResources : recherche toutes les ressources Google Clouddans le champ d'application spécifié, tel qu'un projet, un dossier ou une organisation.
  • SearchAllIamPolicies : recherche toutes les stratégies IAM dans le champ d'application spécifié, tel qu'un projet, un dossier ou une organisation.
  • ListAssets : affichez une liste paginée des éléments à un horodatage donné.
  • QueryAssets : émettez un job qui interroge les composants à l'aide d'une instruction SQL compatible avec BigQuery SQL.
  • Ces API vous permettent également d'utiliser la recherche globale dans la consoleGoogle Cloud pour trouver des ressources VMware Engine. Utilisez la barre de recherche globale pour rechercher le nom de n'importe quelle ressource VMware Engine disponible via l'API Cloud Asset. La ressource s'affiche dans la liste des résultats.

  Pour rechercher des ressources VMware Engine ou des règles IAM à l'aide de la console inventaire des éléments cloud, procédez comme suit :

  1. Accédez à la page Inventaire des éléments dans la console Google Cloud .

  Accéder à l'inventaire des éléments

  1. Pour définir le champ d'application de votre recherche, ouvrez la liste des projets dans la barre de menu, puis sélectionnez l'organisation, le dossier ou le projet à interroger.

  2. Sélectionnez l'onglet Ressource ou Stratégie IAM.

  3. Pour Filtrer les résultats, cochez la case à côté des filtres choisis.

  Les ressources ou les règles correspondant à la requête sont listées dans le tableau Résultats.

  Pour afficher la requête en tant que commande Google Cloud CLI, sélectionnez Afficher la requête.

  Pour exporter les résultats, sélectionnez Télécharger au format CSV.

• Surveillance et analyse : vous pouvez exporter toutes les métadonnées d'éléments à un certain horodatage ou exporter l'historique des modifications d'événements au cours d'une période donnée. De plus, vous pouvez surveiller les modifications d'éléments en vous abonnant aux notifications en temps réel.

  • ExportAssets : exporte les éléments avec les types de ressources et les types de données temporelles vers un emplacement Cloud Storage ou une table BigQuery donnés.
  • BatchGetAssetsHistory : récupère par lot l'historique des mises à jour des composants qui chevauchent une période.
  • Flux : flux de composants utilisé pour exporter les modifications apportées aux composants vers une destination. Créez des canaux Pub/Sub afin de recevoir des notifications en temps réel concernant toute modification de configuration des éléments, diminuer la fréquence des exportations et maintenir une surveillance continue.

  Pour analyser les stratégies IAM qui ont accès à quelles ressources Google Cloud à l'aide de la console Inventaire des éléments cloud, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Analyse des stratégies.

     Accéder à la page "Analyse des stratégies"

  2. Dans la section Analyser les règles, recherchez le volet Requête personnalisée, puis cliquez sur Créer une requête personnalisée dans ce volet.

  3. Dans le champ Sélectionner le champ d'application de la requête, sélectionnez le projet, le dossier ou l'organisation auquel vous souhaitez appliquer la requête. Policy Analyzer analyse l'accès pour ce projet, ce dossier ou cette organisation, ainsi que toutes les ressources de ce projet, ce dossier ou cette organisation.

  4. Choisissez la ressource à vérifier, ainsi que le rôle ou l'autorisation à vérifier :

     1. Dans le champ Paramètre  1, sélectionnez Ressource dans le menu déroulant.
     2. Dans le champ Ressource, saisissez le nom complet de la ressource pour laquelle vous souhaitez analyser l'accès. Si vous ne connaissez pas le nom complet de la ressource, commencez à saisir le nom à afficher de la ressource, puis sélectionnez-la dans la liste des ressources fournies.
     3. Cliquez sur add Ajouter un sélecteur.
     4. Dans le champ Paramètre 2, sélectionnez Rôle ou Autorisation.
     5. Dans le champ Sélectionner un rôle ou Sélectionner une autorisation, sélectionnez le rôle ou l'autorisation que vous souhaitez vérifier.
     6. Facultatif : Pour vérifier les rôles et autorisations supplémentaires, continuez à ajouter des sélecteurs Rôle et Autorisation jusqu'à ce que tous les rôles et autorisations que vous souhaitez vérifier soient répertoriés.

  5. Facultatif : Cliquez sur Continuer, puis sélectionnez les options avancées que vous souhaitez activer pour cette requête.

  6. Dans le volet Requête personnalisée, cliquez sur Analyser > Exécuter la requête. La page du rapport affiche les paramètres de requête que vous avez saisis, ainsi qu'une table de résultats de tous les comptes principaux avec les rôles ou les autorisations spécifiés sur la ressource spécifiée.

  Les requêtes d'analyse des règles dans la console Google Cloud s'exécutent pendant une minute maximum. Au bout d'une minute, la console Google Cloud arrête la requête et affiche tous les résultats disponibles. Si la requête ne se termine pas dans ce délai, la console Google Cloud affiche une bannière indiquant que les résultats sont incomplets. Pour obtenir plus de résultats pour ces requêtes, exportez-les vers BigQuery.

• Analyse des stratégies IAM : utilisez les API d'analyse des stratégies pour savoir qui a accès à quoi.

  • AnalyzeIamPolicy : analyse les stratégies IAM pour déterminer quelles identités ont accès à quelles ressources.
  • AnalyzeIamPolicyLongrunning : analyse les stratégies IAM de manière asynchrone pour déterminer quelles identités ont accès à quelles ressources, et écrit les résultats de l'analyse dans une destination Cloud Storage ou BigQuery.

Étapes suivantes

• Consultez la liste des ressources disponibles à l'aide de l'inventaire des éléments cloud et recherchez VMware.
• En savoir plus sur les possibilités offertes par Cloud Asset Inventory