En esta guía, se describe cómo usar la API de análisis de movimiento Cloud Asset Inventory para obtener un informe detallado sobre las advertencias y los bloqueadores de una lista de sistemas de políticas esenciales antes de mover el proyecto.
Habilitar API
Selecciona o crea un proyecto como tu proyecto de consumidor de la API, habilita API de Cloud Asset
Este proyecto de consumidor puede ser diferente del proyecto que planeas analizar y migrar. El proyecto de consumidor se usará para generar credenciales para hacer que la API para cada solicitud.
En la siguiente sección, se describen los roles y permisos necesarios otorgadas en el proyecto fuente que planeas analizar.
Asignación de permisos
Para realizar un análisis de movimiento de proyectos, necesitas una función que otorgue el permiso cloudasset.assets.analyzeMove, como Visualizador de recursos de Cloud o Visualizador.
Para recibir el análisis de un servicio, también necesitas roles relacionados con esos servicios. Estos permisos incluyen lo siguiente:
Si quieres ver las políticas de IAM heredadas recurso de organización superior del proyecto, necesitas el
resourcemanager.organizations.getIamPolicyen la recurso de la organización superior del proyecto de origen.Si quieres ver las políticas de IAM heredadas la carpeta superior del proyecto, necesitas el archivo
resourcemanager.folders.getIamPolicypermiso en la carpeta superior del proyecto de origen.Si deseas ver las políticas de IAM en el proyecto, necesitas el permiso
resourcemanager.projects.getIamPolicyen el proyecto de origen.Si quieres ver las políticas de la organización que se heredan necesitas el permiso
orgpolicy.policy.geten el proyecto de origen.Si quieres ver las políticas de firewall de Compute Engine que se heredaron en este proyecto, necesitas el
compute.organizations.setSecurityPolicyen la carpeta de origen o en el recurso de la organización.Si quieres ver las etiquetas heredadas en este proyecto, necesitas el permiso
resourcemanager.hierarchyNodes.listEffectiveTagsen el proyecto de origen o sus nodos principales.
Realiza el análisis
Puedes usar Google Cloud CLI o la API para analizar la migración de un recurso desde su lugar actual en la jerarquía de recursos.
gcloud
Analizar los impactos de migrar un proyecto de su posición actual en
la jerarquía de recursos, usa el comando gcloud asset analyze-move:
gcloud asset analyze-move --project=PROJECT_ID \
(--destination-folder=FOLDER_ID \
| --destination-organization=ORGANIZATION_ID)
Para analizar los impactos de mover un proyecto a una carpeta diferente, ejecuta el comando con --destination-folder:
gcloud asset analyze-move --project=PROJECT_ID \ --destination-folder=FOLDER_ID
Para analizar los impactos de trasladar un proyecto a una organización diferente, haz lo siguiente:
Ejecuta el comando con --destination-organization:
gcloud asset analyze-move --project=PROJECT_ID \ --destination-organization=ORGANIZATION_ID
Aquí:
PROJECT_IDes el ID único del proyecto de la proyecto que migrarás. Por ejemplo,--myProject123FOLDER_IDes el ID numérico de la carpeta de la la carpeta de destino en la que se realizará el análisis. Por ejemplo,45678901123ORGANIZATION_IDes la organización numérica ID de la organización de destino en la que se realiza el análisis. Por ejemplo,78901123456
API
Analizar los impactos de migrar un proyecto de su posición actual en la jerarquía de recursos sin realizar el traslado, usa el cloudasset.analyzeMove:
GET https://cloudasset.googleapis.com/v1/{resource=*/*}: \
analyzeMove?destinationParent=DESTINATION_NAME
Aquí:
resourcees el nombre del recurso en el que se realizará la acción. realizar el análisis. Solo se admiten los recursos del proyecto, por lo que el ID o el número del proyecto. Por ejemplo,projects/my-project-idoprojects/12345.DESTINATION_NAMEes el nombre del Recurso de organización o carpeta de Google Cloud para cambiar el padre del destino recurso. El análisis se realizará sobre los impactos de mover el recurso al elemento superior de destino especificado. El destino debe ser un número de carpeta o de recurso de la organización. Por ejemplo,folders/123oorganizations/123.
Mueve las respuestas del análisis
La respuesta que recibes de la API de Move Analysis se agrupa por nombre de servicio. Debajo de cada servicio, se muestra una lista de advertencias y bloqueadores aplicables a esta migración de proyectos. Cualquier bloqueador que devuelva este análisis significa que el La migración del proyecto se bloqueará en el tiempo de ejecución si continúas con el traslado antes de resolverlos.
Solución de errores
Si la API de análisis de movimiento muestra un error, incluye un código gRPC estándar, así como un mensaje que describe el motivo del error de la API de análisis de movimiento para analizar el proyecto.
En la siguiente tabla, se describen los códigos de error que se podrían mostrar con la API de Move Analysis:
| Nombre del error | Código de error | Descripción |
|---|---|---|
| Argumento no válido | 3 | Se muestra si llamas a la API en un proyecto con un argumento no válido, como un recurso incorrecto de la fuente de datos. |
| Permiso denegado | 7 | Se muestra si no tienes los permisos necesarias para realizar el análisis o la fuente El proyecto no existe. |
| Interno | 13 | Se devuelve si hay un problema con una llamada a un de políticas, como Identity and Access Management o política de la organización. Esto no indica que la migración no sea posible, y puedes volver a intentar el análisis después de verificar si hay una interrupción en el servicio. |
| No disponible | 14 | Se muestra si un sistema interno no está sincronizado. Esto no indica que la migración no sea posible, y puedes volver a intentar el análisis. |
| Sin autenticar | 16 | Se devolverá si no proporcionaste la correcta credenciales para realizar este análisis. |
Ejemplo de mensaje de error
En el siguiente ejemplo, ilustra el código de error que se muestra para un usuario que no tiene el permiso cloudasset.assets.analyzeMove en el proyecto que se migrará:
{
"error": {
"code": 403,
"message": "Failed to fetch Project: projects/test-project-service-3 to perform
move analysis.",
"status": "PERMISSION_DENIED"}
}
Es posible que algunos de los sistemas de políticas no puedan analizar el traslado de recursos. Lo siguiente
el ejemplo demuestra el error que muestra el servicio de firewall jerárquico
cuando el usuario no tiene compute.organizations.setSecurityPolicy
permiso en el proyecto que se migrará:
{
"moveAnalysis": [{
"displayName": "name hidden",
"analysis": {
"warnings": [{
"detail": "details hidden"
}]
}
}, {
"displayName": "name hidden",
"analysis": {
"warnings": [{
"detail": "details hidden"
}]
}
}, {
"displayName": "Hierarchical Firewall",
"error": {
"code": 7,
"message": "Failed to retrieve inherited security policies to perform
analysis. Required 'compute.organizations.setSecurityPolicy'
permission for {resource ID}"
}}]
}
¿Qué sigue?
La API de Move Analysis proporciona detalles que ayudan a mitigar bloqueos y otras problemas cuando se traslada un proyecto de un recurso de la organización a otro. Para obtener más información sobre la migración de proyectos entre recursos de la organización, consulta Migra proyectos.