Layanan inventaris aset untuk VMware Engine

Inventaris Aset Cloud menyediakan layanan inventaris berdasarkan database deret waktu yang memungkinkan Anda menelusuri, mengekspor, dan menganalisis metadata aset yang terkait dengan resource yang di-onboarding. Inventaris Aset Cloud adalah layanan inventaris terkelola sepenuhnya yang memungkinkan Anda mengontrol akses ke data Inventaris Aset Cloud hingga ke setiap jenis kebijakan dan resource. Dengan begitu, Anda dapat memanfaatkan keunggulan inventaris terpusat dan juga mencapai hak istimewa terendah saat diperlukan.

Aset atau resource VMware Engine utama tersedia melalui Cloud Asset API dan juga tersedia menggunakan UI Inventaris Aset Cloud di bagian Identity and Access Management di konsol Google Cloud . Resource Cloud Asset API mencakup:

Untuk resource ini, UI Cloud Asset Inventory dan Cloud Asset API mengaktifkan fitur berikut:

  • Penelusuran dan visibilitas: Menelusuri metadata aset, termasuk kebijakan IAM yang terkait dengannya menggunakan bahasa kueri kustom.

    • SearchAllResources: Menelusuri semua resource Google Cloud dalam cakupan yang ditentukan, seperti project, folder, atau organisasi.
    • SearchAllIamPolicies: Menelusuri semua kebijakan IAM dalam cakupan yang ditentukan, seperti project, folder, atau organisasi.
    • ListAssets: Melihat daftar aset yang dipaginasi pada stempel waktu tertentu.
    • QueryAssets: Mengirimkan tugas yang membuat kueri aset menggunakan pernyataan SQL yang kompatibel dengan BigQuery SQL.
    • API ini juga memungkinkan Anda menggunakan Penelusuran Global di konsolGoogle Cloud untuk menemukan resource VMware Engine. Gunakan kotak penelusuran global untuk menelusuri nama resource VMware Engine yang tersedia melalui Cloud Asset API. Resource ditampilkan dalam daftar hasil.

    Untuk menelusuri resource VMware Engine atau kebijakan IAM menggunakan konsol Inventaris Aset Cloud, lakukan hal berikut:

    1. Buka halaman Inventaris Aset di konsol Google Cloud .

    Buka Inventaris Aset

    1. Untuk menetapkan cakupan penelusuran, buka kotak daftar Project di panel menu, lalu pilih organisasi, folder, atau project yang akan dikueri.

    2. Pilih tab Resource atau IAM Policy.

    3. Untuk Filter hasil, centang kotak di samping filter yang dipilih.

    Resource atau kebijakan yang cocok dengan kueri akan tercantum dalam tabel Result.

    Untuk melihat kueri sebagai perintah Google Cloud CLI, pilih Lihat kueri.

    Untuk mengekspor hasil, pilih Download CSV.

  • Pemantauan dan analisis: Anda dapat mengekspor semua metadata aset pada stempel waktu tertentu atau mengekspor histori perubahan peristiwa selama jangka waktu tertentu. Selain itu, Anda juga dapat memantau perubahan aset dengan berlangganan untuk mendapatkan notifikasi real-time.

    • ExportAssets: Mengekspor aset dengan jenis waktu dan resource ke lokasi Cloud Storage atau tabel BigQuery tertentu.
    • BatchGetAssetsHistory: Mengambil histori update aset yang tumpang-tindih dengan jangka waktu.
    • Feed: Feed aset yang digunakan untuk mengekspor pembaruan aset ke tujuan. Siapkan saluran Pub/Sub untuk menerima pemberitahuan real-time tentang perubahan konfigurasi aset, mengurangi frekuensi ekspor, dan mendapatkan pemantauan berkelanjutan.

    Untuk menganalisis kebijakan IAM mana yang memiliki akses ke Google Cloud resource menggunakan konsol Inventaris Aset Cloud, lakukan hal berikut:

    1. Di konsol Google Cloud , buka halaman Policy Analyzer.

      Buka halaman Policy Analyzer

    2. Di bagian Analyze policies, temukan panel berlabel Custom query, lalu klik Create custom query di panel tersebut.

    3. Di kolom Select query scope, pilih project, folder, atau organisasi yang ingin Anda cakupkan kuerinya. Penganalisis Kebijakan akan menganalisis akses untuk project, folder, atau organisasi tersebut, serta semua resource dalam project, folder, atau organisasi tersebut.

    4. Pilih resource yang akan diperiksa dan peran atau izin yang akan diperiksa:

      1. Di kolom Parameter 1, pilih Resource dari menu drop-down.
      2. Di kolom Resource, masukkan nama resource lengkap dari resource yang ingin Anda analisis aksesnya. Jika Anda tidak mengetahui nama lengkap resource, mulai ketik nama tampilan resource, lalu pilih resource dari daftar resource yang diberikan.
      3. Klik Tambahkan pemilih.
      4. Di kolom Parameter 2, pilih Peran atau Izin.
      5. Di kolom Pilih peran atau Pilih izin, pilih peran atau izin yang ingin Anda periksa.
      6. Opsional: Untuk memeriksa peran dan izin tambahan, terus tambahkan pemilih Peran dan Izin hingga semua peran dan izin yang ingin Anda periksa tercantum.

    5. Opsional: Klik Lanjutkan, lalu pilih opsi lanjutan yang ingin Anda aktifkan untuk kueri ini.

    6. Di panel Custom query, klik Analyze > Run query. Halaman laporan menampilkan parameter kueri yang Anda masukkan, dan tabel hasil semua akun utama dengan peran atau izin yang ditentukan pada resource yang ditentukan.

    Kueri analisis kebijakan di konsol Google Cloud berjalan hingga satu menit. Setelah satu menit, konsol Google Cloud menghentikan kueri dan menampilkan semua hasil yang tersedia. Jika kueri tidak selesai dalam waktu tersebut, Google Cloud konsol akan menampilkan banner yang menunjukkan bahwa hasil tidak lengkap. Untuk mendapatkan lebih banyak hasil untuk kueri ini, ekspor hasil ke BigQuery.

  • Analisis kebijakan IAM: Menganalisis API kebijakan untuk mengetahui siapa yang memiliki akses ke apa.

    • AnalyzeIamPolicy: Menganalisis kebijakan IAM untuk menjawab identitas mana yang memiliki akses apa pada resource mana.
    • AnalyzeIamPolicyLongrunning: Menganalisis kebijakan IAM secara asinkron untuk menjawab identitas mana yang memiliki akses apa pada resource mana, dan menulis hasil analisis ke tujuan Cloud Storage atau BigQuery.

Langkah berikutnya