Inventario de Recursos de Cloud es un servicio de inventario de metadatos global que te permite ver, buscar, exportar, monitorizar y analizar los Google Cloud metadatos de tus recursos, con un historial de creación, actualización y eliminación de hasta 35 días. Los recursos que no han cambiado en los últimos 35 días muestran su estado más reciente.
Los metadatos de los recursos pueden proceder de los siguientes lugares:
Google Cloud recursos, como instancias de máquinas virtuales de Compute Engine, cubos de Cloud Storage e instancias de App Engine.
Políticas definidas en Google Cloud recursos, como políticas de gestión de identidades y accesos, políticas de organización y políticas de Access Context Manager.
Información de tiempo de ejecución de OS Inventory Management.
A continuación, te indicamos cómo puedes trabajar con tus recursos:
Enumera tus recursos y sus relaciones en un proyecto, una carpeta o una organización concretos y consulta el historial de recursos de los últimos 35 días.
Busca tus recursos y sus políticas de permisos de IAM con un lenguaje de consulta personalizado o consulta tus recursos con BigQuery SQL.
Exporta los metadatos de tus recursos a BigQuery o Cloud Storage.
Analiza qué ocurriría si se trasladara un recurso a otro proyecto.
Analiza tus políticas de gestión de identidades y accesos y de organización en los recursos y consulta tus políticas de gestión de identidades y accesos efectivas en los recursos para ver quién tiene acceso a qué.
Monitoriza tus recursos para detectar cambios configurando y suscribiéndote a un feed.
Genera estadísticas a partir de tus recursos para mejorar tu postura de seguridad.
Tipos de recursos, nombres de recursos y tipos de contenido
Inventario de Recursos de Cloud ofrece varios métodos para interactuar con tus recursos. En función del método que utilices y del nivel de detalle que quieras obtener en la respuesta, es posible que tengas que especificar los tipos de recursos, los nombres de los recursos y los tipos de contenido en tus solicitudes.
Tipos de recursos
Algunos métodos de Inventario de recursos de Cloud devuelven resultados basados en tipos de recursos. Los tipos de recursos incluyen recursos, políticas, información de tiempo de ejecución del inventario del SO y relaciones. Google Cloud Los tipos de recursos disponibles y los métodos de Cloud Asset Inventory que los admiten se detallan en Tipos de recursos.
Nombres de recursos
Algunos métodos de Inventario de Recursos de Cloud devuelven resultados basados en nombres de recursos. Cuando especifique un nombre de recurso, debe usar su nombre de recurso completo. Consulta los nombres de recursos para ver una lista de nombres de recursos completos.
Tipos de contenido
Puedes solicitar metadatos adicionales de un recurso especificando un tipo de contenido de metadatos. Si no especificas un tipo de contenido, solo se devolverá una respuesta básica que contenga información como el nombre del recurso, la última vez que se actualizó y los proyectos, carpetas y organizaciones a los que pertenece.
Los nombres de los tipos de contenido varían en función de cómo interactúes con Inventario de Recursos de Cloud. Los nombres de las APIs RPC y REST son los mismos. Sin embargo, los nombres de tipo de contenido de la CLI de gcloud siguen un patrón diferente. Para mantener la coherencia y facilitar la explicación, en el resto de la documentación se hace referencia a los tipos de contenido por sus nombres de RPC y REST.
En la siguiente tabla se detallan los tipos de contenido y sus descripciones:
| Tipo de contenido | Descripción | |
|---|---|---|
| Nombre de RPC y REST | Nombre de la CLI de gcloud | |
ACCESS_POLICY | access-policy | El conjunto de políticas de Administrador de contextos de acceso definido en un recurso. |
IAM_POLICY | iam-policy | Metadatos de la política de gestión de identidades y accesos vinculada al recurso. |
ORG_POLICY | org-policy | Los metadatos de la política de la organización definidos en un recurso. Este tipo de contenido genera la versión 1 de la política de organización antigua. En el caso de la política de organización v2, prueba con el tipo de contenido resource y el tipo de recurso orgpolicy.googleapis.com/Policy. |
OS_INVENTORY | os-inventory | Información del inventario del SO del tiempo de ejecución. Para habilitar el inventario de SO, sigue los pasos correspondientes en Configurar VM Manager. |
RELATIONSHIP | relationship | Requiere acceso al nivel Premium o Enterprise de Security Command Center o Gemini Cloud Assist. Muchos Google Cloud recursos están conectados entre sí mediante relaciones. Por ejemplo, un grupo de instancias de Compute puede contener una instancia de Compute, o un clúster de GKE puede contener un nodo. Los datos de relaciones están disponibles desde el 30 de mayo del 2022. Una relación puede tener su propia marca de tiempo de actualización, ya que se puede inferir en un momento diferente al de las actualizaciones del recurso de origen. Consulta la sección Tipos de relaciones para ver una lista de las relaciones admitidas. |
RESOURCE | resource | Los metadatos del recurso. |
Cómo cambian las respuestas según el tipo de contenido
En los siguientes ejemplos se muestra cómo cambian las respuestas al enumerar instancias de VM en un proyecto a través del Inventario de Recursos de Cloud con diferentes tipos de contenido.
No hay tipo de contenido
Si no especifica ningún tipo de contenido al enumerar las instancias de VM, solo recibirá los nombres de las instancias, la última vez que se actualizaron y los proyectos, carpetas y organizaciones a los que pertenecen.
Desplegar para ver un ejemplo de respuesta
--- ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID assetType: compute.googleapis.com/Instance name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME updateTime: '2023-11-15T12:28:30.087825Z'
Tipo de contenido IAM_POLICY
Si especificas el tipo de contenido IAM_POLICY, también recibirás las vinculaciones de IAM de la VM, si las hay.
Desplegar para ver un ejemplo de respuesta
--- ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID assetType: compute.googleapis.com/Instance iamPolicy: bindings: - members: - user:USER_EMAIL_ADDRESS role: roles/compute.securityAdmin etag: ETAG name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME updateTime: '2023-12-19T23:35:42.673842Z'
Tipo de contenido RESOURCE
Si especifica el tipo de contenido RESOURCE, también recibirá todos los metadatos asociados a la máquina virtual.
Desplegar para ver un ejemplo de respuesta
--- ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID assetType: compute.googleapis.com/Instance name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME resource: data: allocationAffinity: consumeAllocationType: ANY_ALLOCATION canIpForward: false confidentialInstanceConfig: enableConfidentialCompute: true cpuPlatform: AMD Rome creationTimestamp: '2023-11-14T14:35:37.059-08:00' deletionProtection: false description: '' disks: - architecture: X86_64 autoDelete: true boot: true deviceName: INSTANCE_NAME diskSizeGb: '10' guestOsFeatures: - type: VIRTIO_SCSI_MULTIQUEUE - type: SEV_CAPABLE - type: SEV_SNP_CAPABLE - type: SEV_LIVE_MIGRATABLE - type: UEFI_COMPATIBLE - type: GVNIC index: 0 interface: NVME licenses: - https://www.googleapis.com/compute/v1/projects/ubuntu-os-cloud/global/licenses/ubuntu-2004-lts mode: READ_WRITE shieldedInstanceInitialState: dbx: - content: DATA fileType: BIN dbxs: - content: DATA fileType: BIN source: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/INSTANCE_NAME type: PERSISTENT displayDevice: enableDisplay: false fingerprint: FINGERPRINT id: 'ID' keyRevocationActionType: NONE_ON_KEY_REVOCATION labelFingerprint: LABEL_FINGERPRINT lastStartTimestamp: '2023-11-15T04:28:30.005-08:00' machineType: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/machineTypes/n2d-standard-2 name: INSTANCE_NAME networkInterfaces: - accessConfigs: - name: External NAT natIP: 34.27.105.222 networkTier: PREMIUM type: ONE_TO_ONE_NAT fingerprint: jKU51FdTluk= name: nic0 network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/default networkIP: 10.128.15.212 nicType: GVNIC stackType: IPV4_ONLY subnetwork: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/default reservationAffinity: consumeReservationType: ANY_ALLOCATION resourceStatus: {} scheduling: automaticRestart: true onHostMaintenance: TERMINATE preemptible: false provisioningModel: STANDARD selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME serviceAccounts: - email: PROJECT_NUMBER[email protected] scopes: - https://www.googleapis.com/auth/devstorage.read_only - https://www.googleapis.com/auth/logging.write - https://www.googleapis.com/auth/monitoring.write - https://www.googleapis.com/auth/servicecontrol - https://www.googleapis.com/auth/service.management.readonly - https://www.googleapis.com/auth/trace.append shieldedInstanceConfig: enableIntegrityMonitoring: true enableSecureBoot: false enableVtpm: true shieldedInstanceIntegrityPolicy: updateAutoLearnPolicy: true startRestricted: false status: RUNNING tags: fingerprint: FINGERPRINT zone: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE discoveryDocumentUri: https://www.googleapis.com/discovery/v1/apis/compute/v1/rest discoveryName: Instance location: ZONE parent: //cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER version: v1 updateTime: '2023-11-15T12:28:30.087825Z'Tipo de contenido RELATIONSHIP
Las relaciones requieren acceso al nivel Premium o Enterprise de Security Command Center o a Gemini Cloud Assist.
Si especificas el tipo de contenido RELATIONSHIP, también recibirás metadatos asociados a los recursos relacionados de la instancia de VM.
Desplegar para ver un ejemplo de respuesta
--- ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID assetType: compute.googleapis.com/Instance name: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME relatedAsset: ancestors: - projects/PROJECT_NUMBER - folders/FOLDER_NUMBER - organizations/ORGANIZATION_ID asset: //compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/disks/INSTANCE_NAME assetType: compute.googleapis.com/Disk relationshipType: COMPUTE_INSTANCE_USE_DISK updateTime: '2023-12-19T23:35:42.673842Z'
Cuando se usa el tipo de contenido RELATIONSHIP, en lugar de solicitar todas las relaciones, se pueden solicitar tipos de relaciones específicos.
Actualización de datos
Cloud Asset Inventory ofrece coherencia final en los datos actuales y coherencia con el mejor esfuerzo en los datos históricos. Aunque es poco habitual, es posible que Cloud Asset Inventory no registre algunas actualizaciones de datos.
A menos que se indique lo contrario en la tabla de tipos de recursos, casi todas las actualizaciones de recursos están disponibles en cuestión de minutos.