Neste tópico, mostramos como configurar o Inventário de recursos do Cloud e Inventário do SO do VM Manager para que você possa conferir as informações do ambiente de execução das suas VMs.
Antes de começar
Antes de começar, conclua as etapas a seguir.
Ative a API Cloud Asset Inventory no projeto em que você executará os comandos da API.
Configure as permissões necessárias para chame a API Cloud Asset Inventory usando a CLI gcloud ou a API.
Conclua as etapas a seguir para configurar seu ambiente.
CLI da gcloud
Configure seu ambiente para usar a CLI gcloud e chamar o a API Cloud Asset Inventory, instale a Google Cloud CLI no seu cliente local.
REST
Para configurar o ambiente para chamar a API Cloud Asset Inventory com o
curl
, conclua as etapas a seguir.Verifique se você tem acesso ao comando
curl
.Não se esqueça de conceder à sua conta um dos seguintes papéis em seu projeto, pasta ou organização.
Papel Leitor de recursos do Cloud (
roles/cloudasset.viewer
)Papel básico do proprietário (
roles/owner
)
Como ativar o inventário do SO
Para ativar o inventário do SO, que faz parte do VM Manager. conclua as etapas relevantes em Configurar o VM Manager.
Como definir permissões
Verifique se a sua conta tem a permissão
cloudasset.assets.exportOSInventories
no recurso raiz que contém os recursos que você quer exportar. É
possível conceder essa permissão individualmente ou a um dos papéis a
seguir no recurso raiz.
Papel Leitor de recursos do Cloud (
roles/cloudasset.viewer
)Papel Proprietário do recurso do Cloud (
roles/cloudasset.owner
)
Saiba mais sobre como configurar permissões. e os papéis do IAM do Inventário de recursos do Cloud.
Como exportar dados do VM Manager para o BigQuery
Para exportar o snapshot do inventário do SO em um determinado carimbo de data/hora, use o comando a seguir.
gcloud
Projetos
gcloud asset export \
--project=PROJECT_ID \
--billing-project=BILLING_PROJECT_ID \
--content-type=os-inventory \
--snapshot-time="SNAPSHOT_TIME" \
--bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
--output-bigquery-force
Forneça os valores a seguir:
PROJECT_ID
: o ID do projeto cujo os metadados estão sendo exportados.BILLING_PROJECT_ID
: opcional. O ID do projeto que o agente de serviço padrão do Inventário de recursos do Cloud está com permissões para gerenciar conjuntos de dados e tabelas do BigQuery. Não será necessário se você já mudou para o projeto de faturamento comgcloud config set project
: Leia mais sobre projetos de faturamento.SNAPSHOT_TIME
: opcional. A hora em que você quer capturar um snapshot dos seus recursos. O valor deve ser o hora atual ou um momento no passado. Por padrão, um snapshot é capturado no horário atual. Para obter informações sobre formatos de hora, consulte gcloud topic datetimes.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela em que você está exportar os metadados.
Outras sinalizações:
--output-bigquery-force
: substitui a tabela de destino se ela existe.
Pastas
gcloud asset export \
--folder=FOLDER_ID \
--billing-project=BILLING_PROJECT_ID \
--content-type=os-inventory \
--snapshot-time="SNAPSHOT_TIME" \
--bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
--output-bigquery-force
Forneça os valores a seguir:
FOLDER_ID
: o ID da pasta cuja os metadados estão sendo exportados.Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para conferir mais informações sobre as pastas encontradas.Para conferir o ID de uma pasta em outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
BILLING_PROJECT_ID
: opcional. O ID do projeto que o agente de serviço padrão do Inventário de recursos do Cloud está com permissões para gerenciar conjuntos de dados e tabelas do BigQuery. Não é necessário se você já tiver mudado para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.SNAPSHOT_TIME
: opcional. A hora em que você quer capturar um snapshot dos seus recursos. O valor deve ser o hora atual ou um momento no passado. Por padrão, um snapshot é capturado o horário atual. Para obter informações sobre formatos de hora, consulte gcloud topic datetimes.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela em que você está exportar os metadados.
Outras sinalizações:
--output-bigquery-force
: substitui a tabela de destino se ela existe.
Organizações
gcloud asset export \
--organization=ORGANIZATION_ID \
--billing-project=BILLING_PROJECT_ID \
--content-type=os-inventory \
--snapshot-time="SNAPSHOT_TIME" \
--bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
--output-bigquery-force
Forneça os valores a seguir:
ORGANIZATION_ID
: o ID da organização cujos metadados estão sendo exportados.Como encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
BILLING_PROJECT_ID
: opcional. O ID do projeto que o agente de serviço padrão do Inventário de recursos do Cloud está com permissões para gerenciar conjuntos de dados e tabelas do BigQuery. Não será necessário se você já mudou para o projeto de faturamento comgcloud config set project
: Leia mais sobre projetos de faturamento.SNAPSHOT_TIME
: opcional. A hora em que você quer capturar um snapshot dos seus recursos. O valor deve ser o hora atual ou um momento no passado. Por padrão, um snapshot é capturado o horário atual. Para obter informações sobre formatos de hora, consulte gcloud topic datetimes.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela em que você está exportar os metadados.
Outras sinalizações:
--output-bigquery-force
: substitui a tabela de destino se ela existe.
REST
curl -X POST \
-H "X-Goog-User-Project: BILLING_PROJECT_ID" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"contentType": "OS_INVENTORY",
"readTime": "SNAPSHOT_TIME",
"outputConfig": {
"bigqueryDestination": {
"dataset": "projects/PROJECT_ID/datasets/DATASET_ID",
"table": "TABLE_NAME",
"force": true
}
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE:exportAssets
Forneça os valores a seguir:
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Cloud Asset Inventory está e que tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.SNAPSHOT_TIME
: opcional. O horário em que você quer tirar um snapshot dos seus recursos, no formato RFC 3339. O valor precisa ser a hora atual ou um horário de até 35 dias no passado Quando não é fornecido, um snapshot é capturado no horário atual.PROJECT_ID
: o ID do projeto que o A tabela do BigQuery está.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela para a qual você está exportando. seus metadados.SCOPE
: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Como encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel de controle no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Selecione sua organização na caixa Selecionar de e pesquise o nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para conferir mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Como encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para exportar os relatórios de vulnerabilidade do VM Manager de um projeto para o BigQuery, use o comando a seguir.
gcloud
Projetos
gcloud asset export \
--project=PROJECT_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
--output-bigquery-force
Forneça os valores a seguir:
PROJECT_ID
: o ID do projeto cujo os metadados estão sendo exportados.BILLING_PROJECT_ID
: opcional. O ID do projeto que o agente de serviço padrão do Inventário de recursos do Cloud está com permissões para gerenciar conjuntos de dados e tabelas do BigQuery. Não será necessário se você já mudou para o projeto de faturamento comgcloud config set project
: Leia mais sobre os projetos de faturamento.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela em que você está exportar os metadados.
Outras sinalizações:
--output-bigquery-force
: substitui a tabela de destino se ela existe.
Pastas
gcloud asset export \
--folder=FOLDER_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
--output-bigquery-force
Forneça os valores a seguir:
FOLDER_ID
: o ID da pasta cuja os metadados estão sendo exportados.Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para conferir mais informações sobre as pastas encontradas.Para conferir o ID de uma pasta em outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Cloud Asset Inventory está e que tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não será necessário se você já mudou para o projeto de faturamento comgcloud config set project
: Leia mais sobre projetos de faturamento.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela em que você está exportar os metadados.
Outras sinalizações:
--output-bigquery-force
: substitui a tabela de destino se ela existe.
Organizações
gcloud asset export \
--organization=ORGANIZATION_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
--output-bigquery-force
Forneça os valores a seguir:
ORGANIZATION_ID
: o ID da organização cujos metadados estão sendo exportados.Como encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
BILLING_PROJECT_ID
: opcional. O ID do projeto que o agente de serviço padrão do Inventário de recursos do Cloud está com permissões para gerenciar conjuntos de dados e tabelas do BigQuery. Não será necessário se você já mudou para o projeto de faturamento comgcloud config set project
: Leia mais sobre projetos de faturamento.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela em que você está exportar os metadados.
Outras sinalizações:
--output-bigquery-force
: substitui a tabela de destino se ela existe.
REST
curl -X POST \
-H "X-Goog-User-Project: BILLING_PROJECT_ID" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": ["osconfig.googleapis.com/VulnerabilityReport"],
"contentType": "RESOURCE",
"outputConfig": {
"bigqueryDestination": {
"dataset": "projects/PROJECT_ID/datasets/DATASET_ID",
"table": "TABLE_NAME",
"force": true
}
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE:exportAssets
Forneça os valores a seguir:
BILLING_PROJECT_ID
: opcional. O ID do projeto que o agente de serviço padrão do Inventário de recursos do Cloud está com permissões para para gerenciar conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre projetos de faturamento.PROJECT_ID
: o ID do projeto que o A tabela do BigQuery está.DATASET_ID
: o ID do conjunto de dados do BigQuery.TABLE_NAME
: a tabela para a qual você está exportando. seus metadados.SCOPE
: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Como encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel de controle no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Selecione sua organização na caixa Selecionar de e pesquise o nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para conferir mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Como encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Outros parâmetros:
"force": true
: substitui a tabela de destino, se ela existir.
Tabelas atuais
Não é possível anexar a saída da exportação a uma tabela atual. A
tabela de destino precisa estar vazia ou você precisa substituí-la. Para substituí-lo, use
use a sinalização --output-bigquery-force
com a CLI gcloud ou
force
com a API REST.
Se a tabela de saída estiver em uso quando você tentar gravar nela, uma resposta 400
será
retornada com a mensagem Request contains an invalid argument
.
Como exportar dados do VM Manager para o Cloud Storage
Para exportar os dados de inventário do VM Manager para todas as instâncias de VM em um projeto, use o seguinte comando da CLI gcloud ou a API Cloud Asset Inventory.
gcloud
Projetos
gcloud asset export \
--project=PROJECT_ID \
--billing-project=BILLING_PROJECT_ID \
--content-type=os-inventory \
--output-path="gs://BUCKET_NAME/FILENAME"
Forneça os valores a seguir:
PROJECT_ID
: o ID do projeto cujo os metadados estão sendo exportados.BILLING_PROJECT_ID
: opcional. O ID do projeto se o agente de serviço padrão do Inventário de recursos do Cloud está com permissão gravar no bucket do Cloud Storage. Não será necessário se você já mudou para o projeto de faturamento comgcloud config set project
: Leia mais sobre projetos de faturamento.BUCKET_NAME
: o nome do no bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo na sua no bucket do Cloud Storage em que a gravação será feita.
Pastas
gcloud asset export \
--folder=FOLDER_ID \
--billing-project=BILLING_PROJECT_ID \
--content-type=os-inventory \
--output-path="gs://BUCKET_NAME/FILENAME"
Forneça os valores a seguir:
FOLDER_ID
: o ID da pasta cuja os metadados estão sendo exportados.Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para conferir mais informações sobre as pastas encontradas.Para conferir o ID de uma pasta em outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissão para gravar no bucket do Cloud Storage. Não será necessário se você já mudou para o projeto de faturamento comgcloud config set project
: Leia mais sobre projetos de faturamento.BUCKET_NAME
: o nome do no bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo na sua no bucket do Cloud Storage em que a gravação será feita.
Organizações
gcloud asset export \
--organization=ORGANIZATION_ID \
--billing-project=BILLING_PROJECT_ID \
--content-type=os-inventory \
--output-path="gs://BUCKET_NAME/FILENAME"
Forneça os valores a seguir:
ORGANIZATION_ID
: o ID da organização cujos metadados estão sendo exportados.Como encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
BILLING_PROJECT_ID
: opcional. O ID do projeto se o agente de serviço padrão do Inventário de recursos do Cloud está com permissão gravar no bucket do Cloud Storage. Não é necessário se você já tiver mudado para o projeto de faturamento comgcloud config set project
. Leia mais sobre os projetos de faturamento.BUCKET_NAME
: o nome do no bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo na sua no bucket do Cloud Storage em que a gravação será feita.
REST
curl -X POST \
-H "X-Goog-User-Project: BILLING_PROJECT_ID" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"contentType": "OS_INVENTORY",
"outputConfig": {
"gcsDestination": {
"uri": "gs://BUCKET_NAME/FILENAME"
}
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE:exportAssets
Forneça os valores a seguir:
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre os projetos de faturamento.BUCKET_NAME
: o nome do no bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo na sua no bucket do Cloud Storage em que a gravação será feita.SCOPE
: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Como encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Selecione sua organização na caixa Selecionar de e pesquise o nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para conferir mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Como encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para exportar os relatórios de vulnerabilidade do VM Manager de um projeto para o Cloud Storage, use o seguinte comando da CLI gcloud ou a API Cloud Asset Inventory.
gcloud
Projetos
gcloud asset export \
--project=PROJECT_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--output-path="gs://BUCKET_NAME/FILENAME"
Forneça os valores a seguir:
PROJECT_ID
: o ID do projeto cujo os metadados estão sendo exportados.BILLING_PROJECT_ID
: opcional. O ID do projeto se o agente de serviço padrão do Inventário de recursos do Cloud está com permissão gravar no bucket do Cloud Storage. Não será necessário se você já mudou para o projeto de faturamento comgcloud config set project
: Leia mais sobre projetos de faturamento.BUCKET_NAME
: o nome do no bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo na sua no bucket do Cloud Storage em que a gravação será feita.
Pastas
gcloud asset export \
--folder=FOLDER_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--output-path="gs://BUCKET_NAME/FILENAME"
Forneça os valores a seguir:
FOLDER_ID
: o ID da pasta cuja os metadados estão sendo exportados.Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para conferir mais informações sobre as pastas encontradas.Para conferir o ID de uma pasta em outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissão para gravar no bucket do Cloud Storage. Não será necessário se você já mudou para o projeto de faturamento comgcloud config set project
: Leia mais sobre os projetos de faturamento.BUCKET_NAME
: o nome do no bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo na sua no bucket do Cloud Storage em que a gravação será feita.
Organizações
gcloud asset export \
--organization=ORGANIZATION_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--output-path="gs://BUCKET_NAME/FILENAME"
Forneça os valores a seguir:
ORGANIZATION_ID
: o ID da organização cujos metadados estão sendo exportados.Como encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
BILLING_PROJECT_ID
: opcional. O ID do projeto se o agente de serviço padrão do Inventário de recursos do Cloud está com permissão gravar no bucket do Cloud Storage. Não será necessário se você já mudou para o projeto de faturamento comgcloud config set project
: Leia mais sobre projetos de faturamento.BUCKET_NAME
: o nome do no bucket do Cloud Storage em que a gravação será feita.FILENAME
: o arquivo na sua no bucket do Cloud Storage em que a gravação será feita.
REST
curl -X POST \
-H "X-Goog-User-Project: BILLING_PROJECT_ID" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetTypes": ["osconfig.googleapis.com/VulnerabilityReport"],
"contentType": "RESOURCE",
"outputConfig": {
"gcsDestination": {
"uri": "gs://BUCKET_NAME/FILENAME"
}
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE:exportAssets
Forneça os valores a seguir:
BILLING_PROJECT_ID
: opcional. O ID do projeto se o agente de serviço padrão do Inventário de recursos do Cloud está com permissão para gravação no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento comgcloud config set project
. Leia mais sobre os projetos de faturamento.BUCKET_NAME
: o nome do bucket do Cloud Storage em que será gravada a informação.FILENAME
: o arquivo na sua no bucket do Cloud Storage em que a gravação será feita.SCOPE
: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Como encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Selecione sua organização na caixa Selecionar de e pesquise o nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para conferir mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Como encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Arquivos existentes
Se o arquivo de saída estiver em uso quando você tentar gravar em um bucket de armazenamento, uma resposta 400
será retornada com a mensagem Request contains an invalid argument
.
Como receber o histórico de dados do VM Manager
Para conseguir o histórico de todos os recursos de inventário do SO para uma instância de VM especificada em um projeto, pasta ou organização, execute os comandos a seguir.
gcloud
Projetos
gcloud asset get-history \
--project=PROJECT_ID \
--asset-names=//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME \
--content-type=os-inventory \
--start-time="START_TIME" \
--end-time="END_TIME"
Forneça os valores a seguir:
PROJECT_ID
: o ID do projeto em que o do Compute Engine.ZONE
: a zona em que sua instância de VM está. Por exemplo,us-central1-a
.VM_INSTANCE_NAME
: o nome da VM instância.START_TIME
: opcional. O início da período. O valor deve ser a hora atual ou um horário não superior a há 35 dias. Para obter informações sobre formatos de hora, consulte gcloud topic datetimes.END_TIME
: opcional. O ponto final do o período. O valor precisa ser a hora atual ou um horário que não esteja mais há mais de 35 dias. Quando não informado, o horário de término é usado ser a hora atual. Para obter informações sobre formatos de hora, consulte gcloud topic datetimes.
Para acessar o histórico dos dados de vulnerabilidade do VM Manager de um VM específica em um projeto, execute o seguinte comando:
gcloud asset get-history \
--project=PROJECT_ID \
--asset-names=//osconfig.googleapis.com/projects/PROJECT_NUMBER/locations/ZONE/instances/VM_INSTANCE_ID/vulnerabilityReport \
--content-type=resource \
--start-time="START_TIME" \
--end-time="END_TIME"
Pastas
gcloud asset get-history \
--folder=FOLDER_ID \
--asset-names=//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME \
--content-type=os-inventory \
--start-time="START_TIME" \
--end-time="END_TIME"
Forneça os valores a seguir:
FOLDER_ID
: o ID da pasta em que a VM instância está localizada.Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para conferir mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
ZONE
: a zona em que a instância da VM está. Por exemplo,us-central1-a
.VM_INSTANCE_NAME
: o nome da VM instância.START_TIME
: opcional. O início da período. O valor deve ser a hora atual ou um horário não superior a há 35 dias. Para obter informações sobre formatos de hora, consulte gcloud topic datetimes.END_TIME
: opcional. O ponto final do o período. O valor precisa ser a hora atual ou um horário que não esteja mais há mais de 35 dias. Quando não informado, o horário de término é usado ser a hora atual. Para obter informações sobre formatos de hora, consulte gcloud topic datetimes.
Para acessar o histórico dos dados de vulnerabilidade do VM Manager de um VM específica em um projeto, execute o seguinte comando:
gcloud asset get-history \
--folder=FOLDER_ID \
--asset-names=//osconfig.googleapis.com/projects/PROJECT_NUMBER/locations/ZONE/instances/VM_INSTANCE_ID/vulnerabilityReport \
--content-type=resource \
--start-time="START_TIME" \
--end-time="END_TIME"
Organizações
gcloud asset get-history \
--organization=ORGANIZATION_ID \
--asset-names=//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME \
--content-type=os-inventory \
--start-time="START_TIME" \
--end-time="END_TIME"
Forneça os valores a seguir:
ORGANIZATION_ID
: o ID da organização em que a instância de VM está localizada.Como encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
É possível recuperar um ID de organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
ZONE
: a zona em que sua instância de VM está. Por exemplo,us-central1-a
.VM_INSTANCE_NAME
: o nome da VM instância.START_TIME
: opcional. O início da período. O valor deve ser a hora atual ou um horário não superior a há 35 dias. Para obter informações sobre formatos de hora, consulte gcloud topic datetimes.END_TIME
: opcional. O ponto final do o período. O valor precisa ser a hora atual ou um horário que não esteja mais há mais de 35 dias. Quando não fornecido, o horário de término é considerado o horário atual. Para obter informações sobre formatos de hora, consulte gcloud topic datetimes.
Para conferir o histórico de dados de vulnerabilidade do VM Manager de uma VM específica em um projeto, execute o seguinte comando:
gcloud asset get-history \
--organization=ORGANIZATION_ID \
--asset-names=//osconfig.googleapis.com/projects/PROJECT_NUMBER/locations/ZONE/instances/VM_INSTANCE_ID/vulnerabilityReport \
--content-type=resource \
--start-time="START_TIME" \
--end-time="END_TIME"
REST
Para conseguir o histórico de todos os recursos de inventário do SO para uma instância de VM especificada no um projeto, execute o seguinte comando:
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetNames": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME",
"contentType": "OS_INVENTORY",
"readTimeWindow": {
"startTime": "START_TIME",
"endTime": "END_TIME"
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE:batchGetAssetsHistory
Forneça os valores a seguir:
PROJECT_ID
: o ID do projeto em que a VM instância está localizada.ZONE
: a zona em que a instância da VM está. Por exemplo,us-central1-a
.VM_INSTANCE_NAME
: o nome da instância de VM.START_TIME
: opcional. O início do intervalo de tempo. O valor precisa ser a hora atual ou uma hora não superior a 35 dias no passado. Saiba mais sobre formatos de tempo em Data e hora no gcloud.END_TIME
: opcional. O ponto final do o período. O valor precisa ser a hora atual ou um horário não mais de 35 dias no passado. Quando não fornecido, o horário de término é considerado o atual. Para obter informações sobre formatos de hora, consulte gcloud topic datetimes.SCOPE
: um escopo pode ser um projeto, uma pasta ou organização.Os valores permitidos são:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Como encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Selecione sua organização na caixa Selecionar de e pesquise o nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para conferir mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Como encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Para receber o histórico de dados de vulnerabilidade do VM Manager de uma VM específica em um projeto, execute o seguinte comando:
curl -X POST \
-H "X-HTTP-Method-Override: GET" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"assetNames": "//osconfig.googleapis.com/projects/PROJECT_ID/locations/ZONE/instances/VM_INSTANCE_NAME/vulnerabilityReport",
"contentType": "RESOURCE",
"readTimeWindow": {
"startTime": "START_TIME",
"endTime": "END_TIME"
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE:batchGetAssetsHistory
Como monitorar alterações de dados do VM Manager com o Pub/Sub
Depois de criar um tópico do Pub/Sub, execute os comandos abaixo para monitorar as mudanças do VM Manager.
gcloud
Projetos
Para criar um feed para monitorar VMs com o sistema operacional Windows instalado, execute o seguinte comando:
gcloud asset feeds create FEED_ID \
--project=PROJECT_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=compute.googleapis.com/Instance \
--content-type=os-inventory \
--pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID" \
--condition-title="CONDITION_TITLE" \
--condition-description="CONDITION_DESCRIPTION" \
--condition-expression="temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""
Forneça os valores a seguir:
FEED_ID
: identificador exclusivo do feed de recursos.PROJECT_ID
: o ID do projeto cujo metadados estão sendo enviados ao feed.BILLING_PROJECT_ID
: opcional. O ID do projeto que o agente de serviço padrão do Inventário de recursos do Cloud está com permissões para gerenciar seu tópico do Pub/Sub. Leia mais sobre os projetos de faturamento.TOPIC_ID
: o ID do tópico Pub/Sub para publicar notificações.CONDITION_TITLE
: opcional. O título da condição a ser aplicada ao feed.CONDITION_DESCRIPTION
: opcional. O descrição do condition para aplicar ao feed.
Para criar um feed para monitorar os dados de vulnerabilidade da VM em um projeto, faça o seguinte: execute o seguinte comando:
gcloud asset feeds create FEED_ID \
--project=PROJECT_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID"
Pastas
Para criar um feed de monitoramento de VMs com o sistema operacional Windows instalado, execute o seguinte comando:
gcloud asset feeds create FEED_ID \
--folder=FOLDER_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=compute.googleapis.com/Instance \
--content-type=os-inventory \
--pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID" \
--condition-title="CONDITION_TITLE" \
--condition-description="CONDITION_DESCRIPTION" \
--condition-expression="temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""
Forneça os valores a seguir:
FEED_ID
: um identificador exclusivo do feed de recursos.FOLDER_ID
: o ID da pasta cuja metadados estão sendo enviados ao feed.Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para conferir mais informações sobre as pastas encontradas.Para conferir o ID de uma pasta em outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
BILLING_PROJECT_ID
: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissões para gerenciar seu tópico do Pub/Sub. Leia mais sobre projetos de faturamento.TOPIC_ID
: o ID do tópico do Pub/Sub para publicar notificações.CONDITION_TITLE
: opcional. O título do condition [estado] para aplicar ao feed.CONDITION_DESCRIPTION
: opcional. O descrição do condition para aplicar ao feed.
Para criar um feed para monitorar os dados de vulnerabilidade da VM em um projeto, faça o seguinte: execute o seguinte comando:
gcloud asset feeds create FEED_ID \
--folder=FOLDER_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID"
Organizações
Para criar um feed de monitoramento de VMs com o sistema operacional Windows instalado, execute o seguinte comando:
gcloud asset feeds create FEED_ID \
--organization=ORGANIZATION_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=compute.googleapis.com/Instance \
--content-type=os-inventory \
--pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID" \
--condition-title="CONDITION_TITLE" \
--condition-description="CONDITION_DESCRIPTION" \
--condition-expression="temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""
Forneça os valores a seguir:
FEED_ID
: identificador exclusivo do feed de recursos.ORGANIZATION_ID
: o ID da organização cujos metadados estão sendo enviados ao feed.Como encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
BILLING_PROJECT_ID
: opcional. O ID do projeto que o agente de serviço padrão do Inventário de recursos do Cloud está com permissões para gerenciar seu tópico do Pub/Sub. Leia mais sobre projetos de faturamento.TOPIC_ID
: o ID do tópico do Pub/Sub para publicar notificações.CONDITION_TITLE
: opcional. O título do condition [estado] para aplicar ao feed.CONDITION_DESCRIPTION
: opcional. O descrição do condition para aplicar ao feed.
Para criar um feed para monitorar os dados de vulnerabilidade da VM em um projeto, faça o seguinte: execute o seguinte comando:
gcloud asset feeds create FEED_ID \
--organization=ORGANIZATION_ID \
--billing-project=BILLING_PROJECT_ID \
--asset-types=osconfig.googleapis.com/VulnerabilityReport \
--content-type=resource \
--pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID"
REST
Para criar um feed para monitorar VMs com o sistema operacional Windows instalado, execute o seguinte comando:
curl -X POST \
-H "X-Goog-User-Project: BILLING_PROJECT_ID" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"feedId": "FEED_ID",
"feed": {
"assetTypes": ["compute.googleapis.com/Instance"],
"contentType": "OS_INVENTORY",
"feedOutputConfig": {
"pubsubDestination": {
"topic": "projects/PROJECT_ID/topics/TOPIC_ID"
}
},
"condition": {
"title": "CONDITION_TITLE",
"description": "CONDITION_DESCRIPTION",
"expression": "temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""
}
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE/feeds
Forneça os valores a seguir:
BILLING_PROJECT_ID
: opcional. O ID do projeto que o agente de serviço padrão do Inventário de recursos do Cloud está com permissões para gerenciar seu tópico do Pub/Sub. Leia mais sobre projetos de faturamento.FEED_ID
: identificador exclusivo do feed de recursos.PROJECT_ID
: o ID do projeto em que o tópico do Pub/Sub está localizado.TOPIC_ID
: o ID do tópico Pub/Sub para publicar notificações.CONDITION_TITLE
: opcional. O título do condition [estado] para aplicar ao feed.CONDITION_DESCRIPTION
: opcional. A descrição da condição a ser aplicada ao feed.SCOPE
: um escopo pode ser um projeto, uma pasta ou uma organização.Os valores permitidos são:
projects/PROJECT_ID
projects/PROJECT_NUMBER
Como encontrar um número de projeto do Google Cloud
Console
Para encontrar um número de projeto do Google Cloud, siga estas etapas:
-
Acesse a página Painel no console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Selecione sua organização na caixa Selecionar de e pesquise o nome do projeto.
- Clique no nome do projeto para alternar para ele. O número do projeto é mostrado Card Informações do projeto.
CLI da gcloud
Recupere um número de projeto do Google Cloud com o seguinte comando:
gcloud projects describe PROJECT_ID --format="value(projectNumber)"
-
folders/FOLDER_ID
Como encontrar um ID de pasta do Google Cloud
Console
Para encontrar um ID de pasta do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa do seletor na barra de menus.
- Clique na caixa Selecionar de e escolha sua organização.
- Pesquise o nome da pasta. O ID da pasta é mostrado ao lado do nome dela.
CLI da gcloud
Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:
gcloud resource-manager folders list \ --organization=$(gcloud organizations describe ORGANIZATION_NAME \ --format="value(name.segment(1))") \ --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \ --format="value(ID)"
Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção
--format
para conferir mais informações sobre as pastas encontradas.Para receber o ID de uma pasta dentro de outra, liste as subpastas:
gcloud resource-manager folders list --folder=FOLDER_ID
-
organizations/ORGANIZATION_ID
Como encontrar um ID de organização do Google Cloud
Console
Para encontrar um ID de organização do Google Cloud, siga estas etapas:
-
Acesse o console do Google Cloud.
- Clique na caixa Alternador na barra de menus.
- Clique na caixa Selecionar de e escolha a organização.
- Selecione a guia Todos. O ID é mostrado ao lado do nome da organização.
CLI da gcloud
Recupere um ID da organização do Google Cloud com o seguinte comando:
gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"
-
Execute o comando a seguir para criar um feed para monitorar os dados de vulnerabilidade da VM: comando:
curl -X POST \
-H "X-Goog-User-Project: BILLING_PROJECT_ID" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{
"feedId": "FEED_ID",
"feed": {
"assetTypes": ["osconfig.googleapis.com/VulnerabilityReport"],
"contentType": "RESOURCE",
"feedOutputConfig": {
"pubsubDestination": {
"topic": "projects/PROJECT_ID/topics/TOPIC_ID"
}
}
}
}' \
https://cloudasset.googleapis.com/v1/SCOPE/feeds
Consulte Como monitorar alterações de recursos. para mais detalhes.