Détection d'inventaire d'actifs Google Cloud Platform (GCP)

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 8 minutes de lecture

    • L’application ServiceNow Découverte utilise le modèle d’inventaire Google Cloud Platform (GCP) des actifs pour trouver GCP des ressources et des politiques. La détection de ces ressources nécessite l'installation de l'application Modèles de détection et de mappage des services à partir du ServiceNow Store.

    Le modèle fournit une visibilité pour les services pris en charge par l'API Asset Inventory. Il collecte également les données d'inventaire sur les services GCP déployés et met à jour la CMDB.

    Le modèle collecte des données d'inventaire pour toutes les ressources prises en charge par GCP ou pour une liste d'inclusion préconfigurée de ressources. La liste d'inclusion des ressources d'inventaire du cloud contient tous les types de ressources pris en charge par l'inventaire d'actifs dans le cloud GCP, à l'exception des ressources Compute Engine et des politiques IAM. Vous pouvez développer la liste d'inclusion avec des types de ressources supplémentaires selon vos besoins. Pour en savoir plus sur les ressources Google Cloud, consultezhttps://cloud.google.com/resource-manager/docs/cloud-asset-inventory/overview.

    Demander des applications dans l'App Store

    Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.

    À partir de la Modèles de détection et de mappage des services version 1.18.1, vous pouvez découvrir le GCP stockage par deux types de détection : Serverless et Cloud Discovery. L’exécution des calendriers de détection dans le cloud vous permet d’exécuter un calendrier pour tous vos GCP projets sans avoir à configurer manuellement des calendriers distincts. Vous pouvez également continuer à utiliser la découverte sans serveur comme auparavant.

    Le modèle d’inventaire des actifs amélioré Google Cloud Platform (GCP) exécute des requêtes pour vérifier les configurations sur votre système et déclencher une détection en fonction de vos configurations. Les requêtes par commande :

    1. Si les paramètres du lanceur de modèle de détection sont configurés, le modèle déclenche un calendrier de détection sans serveur.

    2. Si la première requête ne comporte aucun résultat, le modèle continue de vous demander si vous avez configuré la mid.gcp_resource_inventory_bucketpath Serveur MID propriété. Si vous le faites, le modèle exécute un calendrier de détection dans le cloud par comptes dans le cloud.

    3. Si la première requête ne comporte aucun résultat, le modèle continue de vous demander si vous avez configuré la mid.gcp_resource_inventory_bucketpath.default Serveur MID propriété. Si vous le faites, le modèle déclenche un calendrier de détection dans le cloud par défaut.

    4. Si aucune de ces propriétés n’est configurée, le modèle se termine correctement.

    Prérequis

    Vérifier que les applications du magasin sont à jour
    • Modèles de détection et de mappage des services
    • Contenu de visibilité
    GCP autorisation pour Discovery d’utiliser l’API des actifs dans le cloud
    • Point de terminaison d’API : https://cloudasset.googleapis.com/v1/projects/<account_id> :exportAssets
    • Une ou plusieurs des autorisations IAM suivantes sont requises sur le parent de ressource spécifié :
      • cloudasset.assets.exportResource
      • cloudasset.assets.exportIamPolicy
    Utilisateur du compte de service pour l’API de stockage dans le cloud
    Le ServiceNow compte de services dans le cloud doit disposer d’une autorisation en lecture seule pour accéder au point de terminaison de GCP l’API, https://www.googleapis.com/storage/v1.
    Remarque :
    vous pouvez utiliser les en-têtes de la page Chiffrement pour effectuer les actions suivantes :
    • Télécharger un objet chiffré par une clé de chiffrement fournie par le client.
    • Obtenir les métadonnées d'objet avec les hachages de contenu.
    Autorisation de lecture et d’écriture dans un compartiment de stockage dans le cloud
    • Créateur d’objets de stockage
    • Visionneuse d’objets de stockage
    • Administrateur de l’objet de stockage
    Créer une catégorie de stockage dans le cloud à l’aide de la console Google Cloud
    1. Accédez à la console Google Cloud.
    2. Dans le menu Navigation, sélectionnez Stockage dans le cloud > Catégories.
    3. Pour créer un compartiment, sélectionnez + Créer.
    4. Sur la page Créer une catégorie , renseignez les informations relatives à la catégorie.
      Champ Description
      Attribuer un nom à votre catégorie Entrez un nom global unique pour votre catégorie.
      Choisissez l’emplacement de stockage de vos données Sélectionnez un type d’emplacement et un emplacement où les données de catégorie seront stockées de façon permanente.
      • Type d’emplacement : multirégion, pour le stockage mondial (par exemple, États-Unis, UE, Asie).
      • Emplacement : liste des emplacements de stockage dans le cloud disponibles pour le stockage de vos données.
      Choisissez une classe de stockage pour vos données Sélectionnez la classe de stockage adaptée à vos besoins (par exemple, Standard, Nearline, Coldline ou Archive).
      Choisir comment contrôler l’accès aux objets Indiquez si votre compartiment applique ou non la prévention de l’accès public.
      Choisir comment protéger les données d’objet Configurez les outils de protection, si nécessaire.
    5. Sélectionnez Créer.
      Remarque :
      Pour plus d’informations, consultez la documentation Google Cloud Storage.
    Politique de rétention pour la catégorie de stockage
    Assurez-vous que la politique de rétention pour la catégorie de stockage n’est pas active. Si la politique de rétention est active, le fichier de données d’inventaire généré automatiquement ne peut pas être supprimé par le modèle.
    Créer un calendrier de découverte sans serveur

    Créez un calendrier de détection pour effectuer une détection ciblée de l’inventaire des GCP actifs.

    1. Accédez à la Découverte > Calendriers de découverte.
    2. Cliquez sur Nouveau, puis renseignez le formulaire.Détection sans serveur
      Tableau 1. Formulaire Calendrier Découverte
      Champ Description
      Nom Nom du calendrier Découverte. Par exemple, découvrez l’inventaire des actifs GCP.
      Discovery Type de détection.

      Sélectionnez Sans serveur.
      Serveur MID Nom du Serveur MID.
      Exécuter Option permettant de sélectionner la date d’exécution de la prochaine découverte.
    3. Cliquez avec le bouton droit sur l'en-tête du formulaire Calendrier Découverte, puis sélectionnez Enregistrer.
    4. Cliquez sur l'onglet Modèles d'exécution sans serveur, puis sur Nouveau. Remplissez ensuite le formulaire. Schémas d’exécution sans serveur
      Tableau 2. Formulaire Modèle d'exécution sans serveur
      Champ Description
      Nom Nom de ce modèle d'exécution sans serveur. Par exemple, découvrez l’inventaire des actifs GCP.
      Modèle Sélectionnez le modèle d’inventaire des ressources de Google Cloud Platform (GCP).
      Hôte proxy Nom de domaine complet de l'ordinateur sur lequel vous installez le serveur proxy. Spécifiez Global.
      Actif Option permettant d'activer ce calendrier de détection. Cochez cette case pour activer la détection.
    5. Sélectionnez Soumettre.
    6. Dans l’onglet Paramètres du lanceur de modèles de détection , configurez les paramètres suivants avec les valeurs pertinentes :
      Paramètre Valeur
      cloud_account_id L'ID de projet dans GCP.
      full_path_file Chemin d’accès de fichier complet de la catégorie de stockage. Par exemple : gs://<nom du compartiment>.
      cloud_cred_id L'élément sysid des informations d'identification GCP.
      cloud_datacenter_type cmdb_ci_google_datacenter
    Configurations de découverte de stockage avec Serveur MID propriétés
    1. Configurez la propriété mid.gcp_resource_inventory_bucketpath.
      1. Accédez à la Tout > Serveur MID > Propriétés et filtrez la liste par nom, commencez par mid.gcp.
      2. Sélectionnez mid.gcp_resource_inventory_bucketpath.
      3. Remplissez le formulaire.
        1. Configurez le champ Nom de la propriété pour inclure votre ID de compte comme suit : mid.gcp_resource_inventory_bucketpath.<ID de compte cloud>.
        2. Renseignez le champ Valeur avec l’URI de la catégorie, qui correspond au chemin d’accès complet de la catégorie de stockage. Par exemple : gs://<nom du compartiment>.
        3. Dans le champ Serveur MID , laissez ce champ vide pour définir une Serveur MID propriété qui affecte tous les serveurs MID. Pour définir une Serveur MID propriété pour un serveur particulierServeur MID, sélectionnez le serveur préféré.
        4. Sélectionnez Mettre à jour.
    2. Configurez la propriété mid.gcp_resource_inventory_bucketpath.default.
      1. Accédez à la Tout > Serveur MID > Propriétés et filtrez la liste par nom, commencez par mid.gcp.
      2. Sélectionnez mid.gcp_resource_inventory_bucketpath.default.
      3. Renseignez le champ Valeur avec l’URI de la catégorie, qui correspond au chemin d’accès complet de la catégorie de stockage. Par exemple : gs://<nom du compartiment>.
      4. Sélectionnez Mettre à jour.

    Pour plus d’informations, consultez Exporter les métadonnées des ressources d’un projet à un autre

    Liste d’inclusion des ressources d’inventaire dans le cloud
    • Pour collecter des données d’inventaire pour les ressources prises en charge par GCP, dans Now Platform, accédez à la liste d’inclusion des ressources d’inventaire dans le cloud et effacez tous les GCP enregistrements de table.
      Figure 1. Liste d'inclusion des ressources de l'inventaire du cloud

      Liste d’inclusion GCP
    • Affinez la détection des ressources GCP à l'aide de la liste d'inclusion des ressources de l'inventaire du cloud.

      Si votre déploiement comporte des modèles personnalisés pour la détection GCP, assurez-vous de ne pas détecter les ressources GCP deux fois :

      1. Vérifiez que le périmètre de l'application est Discovery and Service Mapping Patterns :
        1. Accédez à la Paramètres > Développeur.
        2. Sélectionnez Discovery and Service Mapping Patterns dans la liste Application.
      2. Accédez à la Définitions système > Tables.
      3. Ouvrez la table Liste d'inclusion des ressources de l'inventaire du cloud [sa_cloud_inventory_resource_whitelist].
      4. Sous Liens connexes, cliquez sur Afficher la liste.
      5. Sélectionnez les types de ressources pour lesquels vous avez des modèles personnalisés, puis sélectionnez Supprimer dans la liste Actions sur des lignes sélectionnées.
      La liste d'inclusion des ressources de l'inventaire du cloud est prédéfinie avec des services communs. Vous pouvez développer la liste avec des types de ressources supplémentaires que vous souhaitez que le modèle détecte, comme suit :
      Remarque :
      Si vous modifiez la liste fournie dans le système de base, elle n’est plus mise à jour automatiquement dans les mises à jour de l’application. Vous devez gérer vous-même des listes personnalisées.
      1. Ouvrez la table Liste d'inclusion des ressources de l'inventaire du cloud [sa_cloud_inventory_resource_whitelist].
      2. Cliquez sur Nouveau.
      3. Renseignez le formulaire, puis cliquez sur Soumettre.
        Remarque :
        les noms des types de ressources supplémentaires doivent être conformes aux conventions de dénomination de fournisseur appropriées.
        Champ Description
        Fournisseur dans le cloud Le fournisseur du type de ressource : GCP.
        Type de ressource La valeur du type de ressource GCP.
        Application Le périmètre de l'application : Discovery and Service Mapping Patterns.

      Les changements sont appliqués la prochaine fois que vous exécuterez le modèle.

    Données collectées par Discovery lors de la détection horizontale

    Ce modèle détecte les données qui fournissent une visibilité pour tous les services GCP de votre organisation. Les données détectées comprennent les tables et les champs suivants.

    Table et champ Description
    CI principal [cmdb_ci_cmp_resource]
    object_id L'ID de l'élément. Cette URL permet d'accéder à l'élément.
    nom Le nom de la ressource.
    resource_type Le type de ressource d'actif, en fonction des données du fichier JSON.
    Valeur clé [cmdb_key_value]
    Clé Le nom de la clé de balise GCP.
    Valeur Nom de la valeur de la balise GCP.

    La carte Dependency Views affiche les éléments de configuration (CI) détectés dans votre organisation et les relations entre eux. Ici, la seule relation significative entre les CI est celle qui permet à Découverte de les identifier.

    Chaque CI d'inventaire GCP est associé à un CI de centre de données logique (LDC) ou à un CI de compte de services dans le cloud. Dans cet exemple, le CI d'inventaire est associé à un CI de compte de services dans le cloud.

    Figure 2. Carte Dependency Views montrant le CI du compte de services dans le cloud

    CI et connexions sur une carte Vue des dépendances

    Relations CI

    Ces relations sont créées pour prendre en charge la détection d'inventaire des actifs GCP :

    CI Relation CI
    Pour les ressources globales :
    CI principal [cmdb_ci_cmp_resource] Contenu par :: Contient Comptes de services dans le cloud
    Pour les ressources régionales :
    CI principal [cmdb_ci_cmp_resource] HostedOn::Hosts Centre de données logique (LDC)