适用于 VMware Engine 的资产清单服务

Cloud Asset Inventory 提供基于时序数据库的库存服务，可让您搜索、导出和分析与已载入资源相关联的资产元数据。Cloud Asset Inventory 是一项全代管式清单服务，您可将 Cloud Asset Inventory 数据访问权限的控制细化到各个资源和政策类型。这样，您可从集中式目录的强大功能中受益，同时也能在需要时实现最小权限。

主要 VMware Engine 资源或资产可通过 Cloud Asset API 获取，也可通过 Google Cloud 控制台上的“Identity and Access Management”下的 Cloud Asset Inventory 界面获取。Cloud Asset API 资源包括：

• PrivateCloud
• 集群
• VMwareEngineNetwork
• NetworkPeering
• PrivateConnection
• NetworkPolicy
• ExternalAccessRule
• ExternalAddress

对于这些资源，Cloud Asset Inventory 界面和 Cloud Asset API 支持以下功能：

• 搜索和查看：使用自定义查询语言搜索资产元数据，包括与其关联的 IAM 政策。

  • SearchAllResources：在指定范围内（例如项目、文件夹或组织）搜索所有 Google Cloud资源。
  • SearchAllIamPolicies：在指定范围内（例如项目、文件夹或组织）搜索所有 IAM 政策。
  • ListAssets：查看给定时间戳的资产的分页列表。
  • QueryAssets：提交作业，使用与 BigQuery SQL 兼容的 SQL 语句查询资产。
  • 您还可以通过这些 API 在Google Cloud 控制台上使用全局搜索功能来查找 VMware Engine 资源。使用全局搜索栏搜索可通过 Cloud Asset API 获取的任何 VMware Engine 资源的名称。相应资源会显示在结果列表中。

  如需使用 Cloud Asset Inventory 控制台搜索 VMware Engine 资源或 IAM 政策，请执行以下操作：

  1. 前往 Google Cloud 控制台中的资产库存页面。

  转到“Asset Inventory”

  1. 要设置搜索范围，请打开菜单栏中的“项目”列表框，然后选择要查询的组织、文件夹或项目。

  2. 选择资源或 IAM 政策标签页。

  3. 对于过滤结果，请勾选所选过滤条件旁边的复选框。

  结果表中会列出与查询匹配的资源或政策。

  如需以 Google Cloud CLI 命令的形式来查看查询，请选择查看查询。

  如需导出结果，请选择下载 CSV。

• 监控和分析：您可以导出特定时间戳的所有资产元数据，或导出特定时间范围内的事件更改历史记录。此外，您还可以通过订阅实时通知来监控资产变化。

  • ExportAssets：将具有时间和资源类型的资产导出到给定的 Cloud Storage 位置或 BigQuery 表。
  • BatchGetAssetsHistory：批量获取与时间窗口重叠的资产的更新历史记录。
  • Feed：用于将资产更新导出到目标位置的资产 Feed。设置 Pub/Sub 频道，获取任何资产配置变更的实时更新，减少导出频率并实现持续监控。

  如需使用 Cloud Asset Inventory 控制台分析哪些 IAM 政策有权访问哪些 Google Cloud 资源，请执行以下操作：

  1. 在 Google Cloud 控制台中，前往 Policy Analyzer 页面。

     前往“政策分析器”页面

  2. 在分析政策部分，找到标记为自定义查询的窗格，然后点击该窗格中的创建自定义查询。

  3. 在选择查询范围字段中，选择要将查询范围限定到的项目、文件夹或组织。 政策分析器将分析该项目、文件夹或组织的访问权限，以及该项目、文件夹或组织中的任何资源。

  4. 选择要检查的资源以及要检查的角色或权限：

     1. 在参数 1 字段中，从下拉菜单中选择资源。
     2. 在资源字段中，输入要分析其访问权限的资源的完整资源名称。如果您不知道完整资源名称，请输入资源的显示名，然后从提供的资源列表中选择该资源。
     3. 点击 add 添加选择器。
     4. 在参数 2 字段中，选择角色或权限。
     5. 在选择角色或选择权限字段中，选择要检查的角色或权限。
     6. 可选：如需检查其他角色和权限，请继续添加角色和权限选择器，直到您列出要检查的所有角色和权限。

  5. 可选：点击继续，然后选择要为此查询启用的所有高级选项。

  6. 在自定义查询窗格中，依次点击分析 > 运行查询。报告页面会显示您输入的查询参数，以及对指定资源拥有指定角色或权限的所有主账号的结果表。

  Google Cloud 控制台中的政策分析查询最多可运行 1 分钟。一分钟后， Google Cloud 控制台会停止查询并显示所有可用的结果。如果查询未在规定时间内完成， Google Cloud 控制台会显示一条横幅，指示结果不完整。如需针对这些查询获得更多结果，请将结果导出到 BigQuery。

• IAM 政策分析：使用政策分析 API 来了解谁能够访问什么。

  • AnalyzeIamPolicy：分析 IAM 政策，以回答哪些身份对哪些资源具有哪些访问权限。
  • AnalyzeIamPolicyLongrunning：异步分析 IAM 政策，以确定哪些身份对哪些资源具有哪些访问权限，并将分析结果写入 Cloud Storage 或 BigQuery 目标位置。

后续步骤

• 查找可使用 Cloud Asset Inventory 获取的资源列表，然后搜索 VMware。
• 详细了解 Cloud Asset Inventory 的用途。