Serviços de inventário de recursos para o VMware Engine

O Inventário de recursos do Cloud fornece serviços de inventário com base em um banco de dados de série temporal que permite pesquisar, exportar e analisar metadados de recursos associados aos recursos integrados. O Inventário de recursos do Cloud é um serviço de inventário totalmente gerenciado em que é possível controlar o acesso aos dados do Inventário de recursos do Cloud até cada tipo de recurso e política. Assim, é possível aproveitar a eficiência de um inventário centralizado e conseguir privilégio mínimo quando necessário.

Os principais recursos ou ativos do VMware Engine estão disponíveis na API Cloud Asset e também na interface do Inventário de recursos do Cloud em "Identity and Access Management" no console do Google Cloud . Os recursos da API Cloud Asset incluem:

Para esses recursos, a interface do Inventário de recursos do Cloud e a API Cloud Asset ativam os seguintes recursos:

  • Pesquisa e visibilidade:pesquise metadados de recursos, incluindo políticas do IAM associadas a eles, usando uma linguagem de consulta personalizada.

    • SearchAllResources: pesquisa todos os recursos Google Cloud no escopo especificado, como projeto, pasta ou organização.
    • SearchAllIamPolicies: pesquisa todas as políticas do IAM no escopo especificado, como projeto, pasta ou organização.
    • ListAssets: confira uma lista paginada dos recursos em um determinado carimbo de data/hora.
    • QueryAssets: emite um job que consulta recursos usando uma instrução SQL compatível com o BigQuery SQL.
    • Essas APIs também permitem usar a pesquisa global no consoleGoogle Cloud para encontrar recursos do VMware Engine. Use a barra de pesquisa global para procurar o nome de qualquer recurso do VMware Engine disponível na API Cloud Asset. O recurso aparece na lista de resultados.

    Para pesquisar recursos do VMware Engine ou políticas do IAM usando o console do Inventário de recursos do Cloud, faça o seguinte:

    1. Acesse a página Inventário de recursos no console do Google Cloud .

    Acessar o inventário de recursos

    1. Para definir o escopo da pesquisa, abra a caixa de lista Projetos na barra de menus e selecione a organização, a pasta ou o projeto a ser consultado.

    2. Selecione a guia Recurso ou Política do IAM.

    3. Em Filtrar resultados, marque a caixa ao lado dos filtros escolhidos.

    Os recursos ou políticas correspondentes à consulta são listados na tabela Resultado.

    Para visualizar a consulta como um comando da Google Cloud CLI, selecione Visualizar consulta.

    Para exportar os resultados, selecione Fazer o download do CSV.

  • Monitoramento e análise:é possível exportar todos os metadados de recursos em um determinado carimbo de data/hora ou o histórico de alterações de eventos durante um período específico. Além disso, você pode monitorar as mudanças de recursos inscrevendo-se em notificações em tempo real.

    • ExportAssets: exporta recursos com tipos de tempo e recurso para um determinado local do Cloud Storage ou tabela do BigQuery.
    • BatchGetAssetsHistory: busca em lote o histórico de atualizações de recursos que se sobrepõem a uma janela de tempo.
    • Feed: um feed de recursos usado para exportar atualizações de recursos para um destino. Configure canais do Pub/Sub para receber atualizações em tempo real sobre qualquer mudança na configuração de recursos, reduzir a frequência das exportações e alcançar o monitoramento contínuo.

    Para analisar quais políticas do IAM têm acesso a quais recursos do Google Cloud usando o console do Inventário de recursos do Cloud, faça o seguinte:

    1. No console do Google Cloud , acesse a página Policy Analyzer.

      Acessar a página "Policy Analyzer"

    2. Na seção Analisar políticas, encontre o painel Consulta personalizada e clique em Criar consulta personalizada.

    3. No campo Selecionar escopo da consulta, selecione o projeto, a pasta ou a organização em que você quer definir o escopo da consulta. A ferramenta Análise de políticas vai analisar o acesso referente ao projeto, à pasta ou à organização, bem como quaisquer recursos que estiverem dentro.

    4. Escolha o recurso e o papel ou a permissão a serem verificados:

      1. No campo Parâmetro 1, selecione Recurso no menu suspenso.
      2. No campo Recurso, insira o nome completo do recurso em que você quer analisar o acesso. Se você não souber o nome completo do recurso, comece a digitar o nome de exibição do recurso e, em seguida, selecione-o na lista de recursos fornecida.
      3. Clique em Adicionar seletor.
      4. No campo Parâmetro 2, selecione Papel ou Permissão.
      5. No campo Selecionar papel ou Selecionar permissão, selecione o papel ou a permissão que você quer verificar.
      6. Opcional: para verificar outros papéis e permissões, continue adicionando os seletores Papel e Permissão até que todos os papéis e as permissões que você quer verificar estejam listados.

    5. Opcional: clique em Continuar e selecione as opções avançadas que você quer ativar para essa consulta.

    6. No painel Consulta personalizada, clique em Analisar > Executar consulta. A página do relatório mostra os parâmetros de consulta inseridos e uma tabela de resultados de todos os principais com as permissões e os papéis especificados no recurso especificado.

    As consultas de análise de política no console do Google Cloud são executadas por até um minuto. Após um minuto, o console Google Cloud interrompe a consulta e mostra todos os resultados disponíveis. Se a consulta não for concluída nesse período, o console Google Cloud vai mostrar um banner indicando que os resultados estão incompletos. Para ter mais resultados com essas consultas, exporte os resultados para o BigQuery.

  • Análise de políticas do IAM:analise as APIs de política para descobrir quem tem acesso a cada conteúdo.

    • AnalyzeIamPolicy: analisa políticas do IAM para responder quais identidades têm acesso a quais recursos.
    • AnalyzeIamPolicyLongrunning: analisa políticas do IAM de maneira assíncrona para responder quais identidades têm quais acessos em quais recursos e grava os resultados da análise em um destino do Cloud Storage ou do BigQuery.

A seguir