Panduan ini menjelaskan cara menggunakan Cloud Asset Inventory Analyze Move API untuk mendapatkan laporan mendetail tentang peringatan dan pemblokir dari daftar sistem kebijakan penting sebelum benar-benar memindahkan project Anda.
Mengaktifkan API
Pilih atau buat project sebagai project konsumen API Anda, aktifkan Cloud Asset API
Project konsumen ini dapat berbeda dari project yang ingin Anda analisis dan migrasikan. Project konsumen akan digunakan untuk membuat kredensial guna membuat permintaan API.
Bagian berikutnya menjelaskan peran dan izin yang diperlukan yang harus diberikan pada project sumber yang akan Anda analisis.
Menetapkan izin
Untuk melakukan analisis pemindahan project, Anda memerlukan peran yang memberikan izin cloudasset.assets.analyzeMove, seperti Cloud Asset Viewer atau Viewer.
Untuk menerima analisis pada layanan, Anda juga memerlukan peran yang terkait dengan layanan tersebut. Izin ini mencakup:
Jika ingin melihat kebijakan IAM yang diwarisi dari resource organisasi induk project sumber, Anda memerlukan izin
resourcemanager.organizations.getIamPolicypada resource organisasi induk project sumber.Jika ingin melihat kebijakan IAM yang diwarisi dari folder induk project sumber, Anda memerlukan izin
resourcemanager.folders.getIamPolicydi folder induk project sumber.Jika ingin melihat kebijakan IAM pada project, Anda memerlukan izin
resourcemanager.projects.getIamPolicypada project sumber.Jika ingin melihat kebijakan organisasi yang diwarisi pada project ini, Anda memerlukan izin
orgpolicy.policy.getpada project sumber.Jika ingin melihat kebijakan firewall Compute Engine yang diwarisi pada project ini, Anda memerlukan izin
compute.organizations.setSecurityPolicydi folder sumber atau resource organisasi.Jika ingin melihat tag yang diwarisi pada project ini, Anda memerlukan izin
resourcemanager.hierarchyNodes.listEffectiveTagspada project sumber atau node ancestornya.
Melakukan analisis
Anda dapat menggunakan Google Cloud CLI atau API untuk menganalisis migrasi resource dari tempatnya saat ini dalam hierarki resource.
gcloud
Untuk menganalisis dampak memigrasikan project dari posisinya saat ini dalam
hierarki resource, gunakan perintah gcloud asset analyze-move:
gcloud asset analyze-move --project=PROJECT_ID \
(--destination-folder=FOLDER_ID \
| --destination-organization=ORGANIZATION_ID)
Untuk menganalisis dampak pemindahan project ke folder lain, jalankan
perintah dengan --destination-folder:
gcloud asset analyze-move --project=PROJECT_ID \ --destination-folder=FOLDER_ID
Untuk menganalisis dampak pemindahan project ke organisasi yang berbeda,
jalankan perintah dengan --destination-organization:
gcloud asset analyze-move --project=PROJECT_ID \ --destination-organization=ORGANIZATION_ID
Dengan keterangan:
PROJECT_IDadalah project ID unik dari project yang Anda migrasikan. Contoh,--myProject123.FOLDER_IDadalah ID folder numerik folder tujuan untuk melakukan analisis. Contoh,45678901123.ORGANIZATION_IDadalah ID organisasi numerik dari organisasi tujuan untuk melakukan analisis. Contoh,78901123456.
API
Untuk menganalisis dampak migrasi project dari posisinya saat ini dalam hierarki resource tanpa melakukan pemindahan, gunakan metode cloudasset.analyzeMove:
GET https://cloudasset.googleapis.com/v1/{resource=*/*}: \
analyzeMove?destinationParent=DESTINATION_NAME
Dengan keterangan:
resourceadalah nama resource untuk melakukan analisis. Hanya resource project yang didukung, jadi harus berupa Project ID atau Nomor Project. Misalnya,projects/my-project-idatauprojects/12345.DESTINATION_NAMEadalah nama folder Google Cloud atau resource organisasi untuk menampilkan ulang resource target. Analisis akan dilakukan pada dampak pemindahan resource ke induk tujuan yang ditentukan. Tujuan harus berupa nomor folder atau nomor resource organisasi. Misalnyafolders/123atauorganizations/123.
Respons analisis gerakan
Respons yang Anda terima dari Move Analysis API dikelompokkan berdasarkan nama layanan. Di bawah setiap layanan terdapat daftar peringatan dan pemblokir yang berlaku untuk migrasi project ini. Setiap pemblokir yang ditampilkan oleh analisis ini berarti bahwa migrasi project akan diblokir pada runtime jika Anda melanjutkan pemindahan tersebut sebelum menyelesaikannya.
Pemecahan masalah terkait error
Jika ada error yang ditampilkan oleh Move Analysis API, error tersebut akan menyertakan kode gRPC standar, serta pesan yang menjelaskan alasan kegagalan Move Analysis API untuk menganalisis project.
Tabel berikut menjelaskan kode error yang berpotensi ditampilkan oleh Move Analysis API:
| Nama error | Kode error | Deskripsi |
|---|---|---|
| Argumen tidak valid | 3 | Ditampilkan jika Anda memanggil API pada project dengan argumen yang tidak valid, seperti nama resource yang salah. |
| Izin ditolak | 7 | Ditampilkan jika Anda tidak memiliki izin yang diperlukan untuk melakukan analisis atau project sumber tidak ada. |
| Internal | 13 | Ditampilkan jika ada masalah dengan panggilan ke sistem kebijakan seperti Identity and Access Management atau kebijakan organisasi. Hal ini tidak mengindikasikan bahwa migrasi tidak mungkin dilakukan, dan Anda dapat mencoba kembali analisis setelah memeriksa layanan untuk pemadaman layanan. |
| Tidak tersedia | 14 | Ditampilkan jika sistem internal tidak sinkron. Hal ini bukan menunjukkan bahwa migrasi tidak memungkinkan, dan Anda dapat mencoba kembali analisis ini. |
| Tidak diautentikasi | 16 | Dikembalikan jika Anda tidak memberikan kredensial yang benar untuk melakukan analisis ini. |
Contoh pesan error
Contoh berikut menunjukkan kode error yang ditampilkan untuk pengguna yang tidak memiliki izin cloudasset.assets.analyzeMove pada project yang akan dimigrasikan:
{
"error": {
"code": 403,
"message": "Failed to fetch Project: projects/test-project-service-3 to perform
move analysis.",
"status": "PERMISSION_DENIED"}
}
Beberapa sistem kebijakan mungkin gagal menganalisis pemindahan resource. Contoh berikut menunjukkan error yang ditampilkan dari layanan Hierarkis Firewall saat pengguna tidak memiliki izin compute.organizations.setSecurityPolicy pada project untuk dimigrasikan:
{
"moveAnalysis": [{
"displayName": "name hidden",
"analysis": {
"warnings": [{
"detail": "details hidden"
}]
}
}, {
"displayName": "name hidden",
"analysis": {
"warnings": [{
"detail": "details hidden"
}]
}
}, {
"displayName": "Hierarchical Firewall",
"error": {
"code": 7,
"message": "Failed to retrieve inherited security policies to perform
analysis. Required 'compute.organizations.setSecurityPolicy'
permission for {resource ID}"
}}]
}
Langkah selanjutnya
Move Analysis API memberikan detail yang membantu mengurangi pemblokir dan masalah lainnya saat memindahkan project dari satu resource organisasi ke resource organisasi lainnya. Untuk mengetahui informasi selengkapnya tentang cara memigrasikan project antar-resource organisasi, lihat Memigrasikan project.