Ansichten:

Erfahren Sie, welche Ressourcen in Ihrer Google Cloud-Umgebung für jede TrendAI Vision One™-Funktion bereitgestellt werden, die Sie in einem Google Cloud-Projekt aktivieren können. Weitere Informationen zu jeder Funktion und Berechtigungsgruppe finden Sie unter Google Cloud-Funktionen und Berechtigungen.

Von der Funktion bereitgestellte Google Cloud-Projektdienste

Funktionsname
Google Cloud-Projektservices bereitgestellt (Anzahl)
Kernfunktionen und Berechtigungen
Resources:
  • Dienstkonto (1)
  • Arbeitslast-Identitätspool (1)
  • Identitäts-Pool-Anbieter für Arbeitslasten (1)
  • IAM (3)
  • Tag-Schlüssel (1)
  • Tag-Wert (1)
  • Cloud-Speicher (1)
Enabled APIs:
  • IAM-Dienstkontozugangsdaten
  • Cloud-Ressourcen-Manager
  • Identity and Access Management
  • Cloud-Build
  • Bereitstellungsmanager
  • Cloud-Funktionen
  • Cloud Pub/Sub
  • Geheimnis-Manager
Agentenlose Sicherheitslücken- und Bedrohungserkennung
IAM & Service Accounts per stack:
  • iam Mitglied (30)
  • Dienstkonto-IAM-Mitglied (10)
  • Benutzerdefinierte Rolle (3)
  • Dienstkonto (3)
Cloud Run Services & Jobs:
Primary region:
  • Cloud Run v2-Dienst (12)
  • Cloud Run v2 Dienst IAM-Richtlinie (10)
  • Cloud Run-Dienst-IAM-Richtlinie (2)
  • Cloud-Run v2 Job (4)
  • Cloud Run v2 Job IAM-Richtlinie (4)
Non-primary Region:
  • Cloud Run v2-Dienst (6)
  • Cloud Run v2 Dienst IAM-Richtlinie (5)
  • Cloud Run-Dienst-IAM-Richtlinie (1)
  • Cloud Run v2 Job (4)
  • Cloud Run v2 Job IAM-Richtlinie (4)
Cloud Scheduler (primary region only):
  • Cloud-Planer-Aufgabe (9)
Pub/Sub:
Primary region:
  • Pubsub-Thema (4)
  • Pubsub-Abonnement (4)
  • pubsub-Thema IAM-Richtlinie (3)
  • pubsub-Thema IAM-Mitglied (3)
  • pubsub-Abonnement-IAM-Richtlinie (3)
Non-primary Region:
  • Pub/Sub-Thema (2)
  • Pub/Sub-Abonnement (2)
  • pubsub-Thema IAM-Richtlinie (2)
  • pubsub-Abonnement IAM-Richtlinie (2)
Cloud Storage (per region):
  • Speicher-Bucket-IAM-Mitglied (2)
  • Speicher-Bucket (2)
  • Speicher-Bucket-Objekt (1)
Secret Manager (primary region only):
  • Geheimnis-Manager Geheimnis (2)
  • Geheimnis-Manager Geheimnis IAM-Richtlinie (2)
Workflows (per region):
  • Workflows (2)
Networking:
Primary Region:
  • Netzwerk berechnen (1)
  • Firewall berechnen (1)
All regions:
  • Compute-Teilnetz (1)
Firestore (primary region only):
  • Firestore-Datenbank (1)
Logging (per region):
  • Protokollierungsprojekt-Senke (1)
Eventarc (per region):
  • eventarc-Auslöser (1)
Virtual Machines (per region):
  • virtuelle Maschine (10 pro Region, wenn Festplatten zum Scannen verfügbar sind)
Enabled APIs:
  • Cloud Run Admin API (run.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)
  • IAM-Dienstkontozugangsdaten-API (iamcredentials.googleapis.com)
  • Cloud Billing API (cloudbilling.googleapis.com)
  • Cloud Firestore-API (firestore.googleapis.com)
  • Secret Manager API (secretmanager.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • Cloud Scheduler API (cloudscheduler.googleapis.com)
  • Cloud Workflows-API (workflows.googleapis.com)
  • Workflow Executions API (workflowexecutions.googleapis.com)
  • Eventarc-API (eventarc.googleapis.com)
Weitere Informationen zu den für jedes Dienstkonto erforderlichen Berechtigungen finden Sie unter Erforderliche Google Cloud-Berechtigungen.
Echtzeit-Haltungskontrolle
Resources:
  • Protokollierungs-Senke
  • Pub/Sub-Thema
  • Pub/Sub IAM-Bindung
  • Cloud-Speicher-Bucket
  • Cloud-Speicherobjekt
  • Dienstkonto
  • Cloud-Funktion (Gen 2)
  • Cloud Run-Dienst IAM-Bindung
  • Eventarc-Auslöser
  • Artifact-Registry-Repository
Enabled APIs:
  • Cloud Logging-API (Dienst: logging.googleapis.com)
  • Cloud Pub/Sub API (Dienst: pubsub.googleapis.com)
  • Cloud-Speicher-API (Dienst: storage.googleapis.com)
  • Cloud Functions API (Dienst: cloudfunctions.googleapis.com)
  • Cloud Run Admin API (Dienst: run.googleapis.com)
  • Eventarc-API (Dienst: eventarc.googleapis.com)
  • Cloud Build API (Dienst: cloudbuild.googleapis.com)
  • Artifact Registry API (Dienst: artifactregistry.googleapis.com)
  • Cloud Deployment Manager (Dienst: deploymentmanager.googleapis.com)
  • Identity and Access Management (IAM) API (Dienst: iam.googleapis.com)
Berechtigungen:
Verwendet in der Bereitstellung:
  • resourcemanager.projects.get
  • iam.serviceAccounts.create
  • iam.serviceAccounts.delete
  • iam.serviceAccounts.get
  • iam.serviceAccounts.actAs
  • cloudfunctions.funktionen.erstellen
  • cloudfunctions.functions.löschen
  • cloudfunctions.functions.get
  • cloudfunctions.functions.aktualisieren
  • run.services.get
  • run.services.setIamPolicy
  • eventarc.triggers.erstellen
  • eventarc.triggers.löschen
  • eventarc.triggers.get
  • artifactregistry.repositories.create
  • artifactregistry.repositories.get
  • pubsub.themen.erstellen
  • pubsub.themen.löschen
  • pubsub.topics.get
  • pubsub.topics.setIamPolicy
  • pubsub.topics.getIamPolicy
  • logging.sinks.erstellen
  • logging.sinks.löschen
  • logging.sinks.get
  • storage.buckets.erstellen
  • storage.buckets.get
  • storage.buckets.löschen
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.delete
Von dem erstellten Dienstkonto verwendete Rollen:
  • Rollen/Ausführen.Aufrufer
  • Rollen/pubsub.publisher
Data Security Posture
Phase: Deployment
IAM:
  • google_service_konto (1)
  • google_project_iam_member (14)
Networking:
  • google_compute_network (1)
  • google_compute_unternetzwerk (1)
  • google_compute_router (1)
  • google_compute_router_nat (1)
  • google_compute_firewall (4 bis 5, bedingt)
  • google_vpc_access_connector (1)
Speicher:
  • google_storage_bucket (2)
  • google_storage_bucket_object (1)
  • google_storage_bucket_iam_member (1)
Compute:
  • google_compute_disk (0 bis 1, bedingt)
Secret Manager:
  • google_secret_manager_secret (1)
  • google_secret_manager_secret_version (1)
  • google_secret_manager_secret_iam_member (1)
Monitoring:
  • google_monitoring_metric_descriptor (1)
  • google_monitoring_alert_policy (0 bis 1, bedingt)
  • google_monitoring_benachrichtigungskanal (0 bis 1, bedingt)
Pub/Sub:
  • google_pubsub_topic (2 bis 3)
  • google_pubsub_abonnement (1)
Cloud Functions:
  • google_cloudfunctions2_function (2)
  • google_cloudfunctions2_function_iam_member (0 bis 1, bedingt)
Eventarc:
  • google_eventarc_trigger (0 bis 1, bedingt)
Cloud Scheduler:
  • google_cloud_scheduler_job (1 bis 2)
Artifact Registry:
  • google_artifact_registry_repository (1)
Cloud Run:
  • google_cloud_run_v2_service (1)
Logging:
  • google_logging_project_sink (0 bis 1, bedingt)
Cloud Build:
  • google_cloudbuild_trigger (0 bis 1, bedingt)
Phase: Runtime
Die folgenden Ressourcen werden zur Laufzeit durch Anwendungscode erstellt und nicht von Terraform verwaltet:
  • VM-Instanz (google_compute_instance): Pro Scan-Auftrag erstellt, nach Ablauf des Heartbeat-Timeouts beendet
  • Ephemere externe IP: Nur für Nicht-Produktionsumgebungen, wird bei VM-Löschung freigegeben
  • Geheimnis-Manager-Versionen: Neue Version pro Rotationszyklus, behält die letzten 5 Versionen
  • Benutzerdefinierte Metrik-Zeitreihendaten: Während des VM-Lebenszyklus zur Überwachung geschrieben
  • GCS-Objekte (Prüfprotokolle): Bereitgestellt durch die GCP-Protokollierungsinfrastruktur