Détection d'inventaire d'actifs Google Cloud Platform (GCP)

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • L’application ServiceNow Détection utilise le modèle Inventaire Google Cloud Platform (GCP) des actifs pour trouver GCP des ressources et des politiques. La détection de ces ressources nécessite l'installation de l'application Patrons de détection et de mappage des services à partir du ServiceNow Store.

    Le modèle fournit une visibilité pour les services pris en charge par l'API Asset Inventory. Il collecte également les données d'inventaire sur les services GCP déployés et met à jour la CMDB.

    Le modèle collecte des données d'inventaire pour toutes les ressources prises en charge par GCP ou pour une liste d'inclusion préconfigurée de ressources. La liste d'inclusion des ressources d'inventaire du cloud contient tous les types de ressources pris en charge par l'inventaire d'actifs dans le cloud GCP, à l'exception des ressources Compute Engine et des politiques IAM. Vous pouvez développer la liste d'inclusion avec des types de ressources supplémentaires selon vos besoins. Pour en savoir plus sur les ressources Google Cloud, consultezhttps://cloud.google.com/resource-manager/docs/cloud-asset-inventory/overview.

    Demander des applications dans l'App Store

    Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.

    Prérequis

    • Autorisation GCP d'utiliser l'API https://cloudasset.googleapis.com/v1/projects/<account_id>:exportAssets, et une ou plusieurs des autorisations Google IAM suivantes sur le parent de la ressource spécifiée :
      • cloudasset.assets.exportResource
      • cloudasset.assets.exportIamPolicy
    • Une catégorie de stockage pour le stockage des données collectées. Cette catégorie est utilisée comme paramètre d'entrée dans le modèle.
      • Si une catégorie doit être créée à cet effet, le même utilisateur GCP doit avoir à la fois l'accès Créer et Modifier pour celle-ci.
      • La politique de conservation pour la catégorie de stockage ne doit pas être active. Sinon, le modèle ne supprime pas le fichier de données d'inventaire généré automatiquement.
    • Un utilisateur GCP en lecture seule pour l'utilisation de l'API https://www.googleapis.com/storage/v1.
      Remarque :
      vous pouvez utiliser les en-têtes de la page Chiffrement pour effectuer les actions suivantes :
      • Télécharger un objet chiffré par une clé de chiffrement fournie par le client.
      • Obtenir les métadonnées d'objet avec les hachages de contenu.
    • Pour collecter les données d’inventaire des ressources prises en charge par GCP, dans Now Platform, accédez à la liste d’inclusion des ressources de l’inventaire du cloud et effacez tous les GCP enregistrements de table.
      Figure 1. Liste d'inclusion des ressources de l'inventaire du cloud

      Liste d’inclusion GCP
    • Affinez la détection des ressources GCP à l'aide de la liste d'inclusion des ressources de l'inventaire du cloud.

      Si votre déploiement comporte des modèles personnalisés pour la détection GCP, assurez-vous de ne pas détecter les ressources GCP deux fois :

      1. Vérifiez que le périmètre de l'application est Discovery and Service Mapping Patterns :
        1. Accédez à la Paramètres > Développeur.
        2. Sélectionnez Discovery and Service Mapping Patterns dans la liste Application.
      2. Accédez à la Définitions du système > Tables.
      3. Ouvrez la table Liste d'inclusion des ressources de l'inventaire du cloud [sa_cloud_inventory_resource_whitelist].
      4. Sous Liens connexes, cliquez sur Afficher la liste.
      5. Sélectionnez les types de ressources pour lesquels vous avez des modèles personnalisés, puis sélectionnez Supprimer dans la liste Actions sur des lignes sélectionnées.
      La liste d'inclusion des ressources de l'inventaire du cloud est prédéfinie avec des services communs. Vous pouvez développer la liste avec des types de ressources supplémentaires que vous souhaitez que le modèle détecte, comme suit :
      Remarque :
      Si vous modifiez la liste fournie dans le système de base, elle n’est plus mise à jour automatiquement dans les mises à jour de l’application. Vous devez gérer vous-même des listes personnalisées.
      1. Ouvrez la table Liste d'inclusion des ressources de l'inventaire du cloud [sa_cloud_inventory_resource_whitelist].
      2. Cliquez sur Nouveau.
      3. Renseignez le formulaire, puis cliquez sur Soumettre.
        Remarque :
        les noms des types de ressources supplémentaires doivent être conformes aux conventions de dénomination de fournisseur appropriées.
        Champ Description
        Fournisseur dans le cloud Le fournisseur du type de ressource : GCP.
        Type de ressource La valeur du type de ressource GCP.
        Application Le périmètre de l'application : Discovery and Service Mapping Patterns.

      Les changements sont appliqués la prochaine fois que vous exécuterez le modèle.

    • Créer un calendrier pour la détection sans serveur. Transmettez le chemin d'accès d'une catégorie de stockage qui existe dans la console GCP en tant que variable de modèle.

    Données collectées par Discovery lors de la détection horizontale

    Ce modèle détecte les données qui fournissent une visibilité pour tous les services GCP de votre organisation. Les données détectées comprennent les tables et les champs suivants.

    Table et champ Description
    CI principal [cmdb_ci_cmp_resource]
    object_id L'ID de l'élément. Cette URL permet d'accéder à l'élément.
    nom Le nom de la ressource.
    resource_type Le type de ressource d'actif, en fonction des données du fichier JSON.

    La carte Dependency Views affiche les éléments de configuration (CI) détectés dans votre organisation et les relations entre eux. Ici, la seule relation significative entre les CI est celle qui permet à Détection de les identifier.

    Chaque CI d'inventaire GCP est associé à un CI de centre de données logique (LDC) ou à un CI de compte de services dans le cloud. Dans cet exemple, le CI d'inventaire est associé à un CI de compte de services dans le cloud.

    Figure 2. Carte Dependency Views montrant le CI du compte de services dans le cloud

    CI et connexions sur une carte Dependency Views

    Relations CI

    Ces relations sont créées pour prendre en charge la détection d'inventaire des actifs GCP :

    CI Relation CI
    Pour les ressources globales :
    CI principal [cmdb_ci_cmp_resource] Contenu par :: Contient Comptes de services dans le cloud
    Pour les ressources régionales :
    CI principal [cmdb_ci_cmp_resource] HostedOn::Hosts Centre de données logique (LDC)