Servizi di inventario asset per VMware Engine

Cloud Asset Inventory fornisce servizi di inventario basati su un database di serie temporali che consente di cercare, esportare e analizzare i metadati degli asset associati alle risorse integrate. Cloud Asset Inventory è un servizio di inventario completamente gestito in cui puoi controllare l'accesso ai dati di Cloud Asset Inventory fino al livello di singolo tipo di risorsa e criterio. In questo modo, puoi sfruttare la potenza di un inventario centralizzato e, allo stesso tempo, otteneprivilegio minimoimi necessari.

Le risorse o gli asset chiave di VMware Engine sono disponibili tramite l'API Cloud Asset e anche tramite la UI di Cloud Asset Inventory in Identity and Access Management nella console Google Cloud . Le risorse dell'API Cloud Asset includono:

• PrivateCloud
• Cluster
• VMwareEngineNetwork
• NetworkPeering
• PrivateConnection
• NetworkPolicy
• ExternalAccessRule
• ExternalAddress

Per queste risorse, la UI di Cloud Asset Inventory e l'API Cloud Asset abilitano le seguenti funzionalità:

• Ricerca e visibilità:cerca i metadati della risorsa, incluse le policy IAM associate, utilizzando un linguaggio di query personalizzato.

  • SearchAllResources: cerca tutte le risorse Google Cloud all'interno dell'ambito specificato, ad esempio progetto, cartella o organizzazione.
  • SearchAllIamPolicies: cerca tutti i criteri IAM all'interno dell'ambito specificato, ad esempio progetto, cartella o organizzazione.
  • ListAssets: visualizza un elenco paginato degli asset in corrispondenza di un timestamp specifico.
  • QueryAssets: invia un job che esegue query sugli asset utilizzando un'istruzione SQL compatibile con BigQuery SQL.
  • Queste API ti consentono anche di utilizzare la ricerca globale nella consoleGoogle Cloud per trovare le risorse VMware Engine. Utilizza la barra di ricerca globale per cercare il nome di qualsiasi risorsa VMware Engine disponibile tramite l'API Cloud Asset. La risorsa viene visualizzata nell'elenco dei risultati.

  Per cercare risorse VMware Engine o criteri IAM utilizzando la console Cloud Asset Inventory:

  1. Vai alla pagina Inventario asset nella console Google Cloud .

  Vai ad Asset Inventory

  1. Per impostare l'ambito della ricerca, apri la casella di riepilogo Progetti nella barra dei menu e seleziona l'organizzazione, la cartella o il progetto da interrogare.

  2. Seleziona la scheda Risorsa o Policy IAM.

  3. Per Filtra risultati, seleziona la casella accanto ai filtri scelti.

  Le risorse o le policy che corrispondono alla query sono elencate nella tabella Risultati.

  Per visualizzare la query come comando Google Cloud CLI, seleziona Visualizza query.

  Per esportare i risultati, seleziona Scarica CSV.

• Monitoraggio e analisi:puoi esportare tutti i metadati delle risorse in un determinato timestamp o esportare la cronologia delle modifiche degli eventi in un periodo di tempo specifico. Inoltre, puoi anche monitorare le modifiche alle risorse iscrivendoti alle notifiche in tempo reale.

  • ExportAssets: esporta gli asset con tipi di ora e risorsa in una determinata posizione Cloud Storage o tabella BigQuery.
  • BatchGetAssetsHistory: recupera in batch la cronologia degli aggiornamenti degli asset che si sovrappongono a un intervallo di tempo.
  • Feed: un feed di asset utilizzato per esportare gli aggiornamenti degli asset in una destinazione. Configura canali Pub/Sub per ricevere aggiornamenti in tempo reale su qualsiasi modifica alla configurazione degli asset, ridurre la frequenza delle esportazioni e realizzare il monitoraggio continuo.

  Per analizzare quali policy IAM hanno accesso a quali risorse Google Cloud utilizzando la console Cloud Asset Inventory:

  1. Nella console Google Cloud , vai alla pagina Policy Analyzer.

     Vai alla pagina Analizzatore criteri

  2. Nella sezione Analizza norme, individua il riquadro etichettato Query personalizzata e fai clic su Crea query personalizzata.

  3. Nel campo Seleziona ambito query, seleziona il progetto, la cartella o l'organizzazione a cui vuoi limitare l'ambito della query. Policy Analyzer analizzerà l'accesso per il progetto, la cartella o l'organizzazione, nonché per qualsiasi risorsa all'interno del progetto, della cartella o dell'organizzazione.

  4. Scegli la risorsa da controllare e il ruolo o l'autorizzazione da verificare:

     1. Nel campo Parametro 1, seleziona Risorsa dal menu a discesa.
     2. Nel campo Risorsa, inserisci il nome completo della risorsa per cui vuoi analizzare l'accesso. Se non conosci il nome completo della risorsa, inizia a digitare il nome visualizzato della risorsa, quindi selezionala dall'elenco delle risorse fornite.
     3. Fai clic su add Aggiungi selettore.
     4. Nel campo Parametro 2, seleziona Ruolo o Autorizzazione.
     5. Nel campo Seleziona un ruolo o Seleziona un'autorizzazione, seleziona il ruolo o l'autorizzazione che vuoi controllare.
     6. (Facoltativo) Per verificare la presenza di altri ruoli e autorizzazioni, continua ad aggiungere selettori Ruolo e Autorizzazione finché non sono elencati tutti i ruoli e le autorizzazioni che vuoi controllare.

  5. (Facoltativo) Fai clic su Continua, poi seleziona le opzioni avanzate che vuoi attivare per questa query.

  6. Nel riquadro Query personalizzata, fai clic su Analizza > Esegui query. La pagina del report mostra i parametri di ricerca inseriti e una tabella dei risultati di tutte le entità con i ruoli o le autorizzazioni specificati nella risorsa specificata.

  L'esecuzione delle query di analisi delle norme nella console Google Cloud può richiedere un minuto. Dopo un minuto, la console Google Cloud interrompe la query e mostra tutti i risultati disponibili. Se la query non è stata completata entro questo periodo di tempo, la console Google Cloud mostra un banner che indica che i risultati sono incompleti. Per ottenere più risultati per queste query, esporta i risultati in BigQuery.

  Puoi generare una visualizzazione della query facendo clic su Visualizza risultati. Per saperne di più, consulta Visualizzare i risultati (anteprima).

• Analisi dei criteri IAM:analizza le API dei criteri per scoprire chi ha accesso a cosa.

  • AnalyzeIamPolicy: analizza le policy IAM per rispondere alla domanda su quali identità hanno quali accessi a quali risorse.
  • AnalyzeIamPolicyLongrunning: analizza i criteri IAM in modo asincrono per rispondere a quali identità hanno quali accessi a quali risorse e scrive i risultati dell'analisi in una destinazione Cloud Storage o BigQuery.

Passaggi successivi

• Trova l'elenco delle risorse disponibili utilizzando Cloud Asset Inventory e cerca VMware.
• Scopri di più su cosa puoi fare con Cloud Asset Inventory.