|
核心功能和權限
|
Resources:
-
服務帳戶 (1)
-
工作負載身份池 (1)
-
工作負載身份池提供者 (1)
-
IAM (3)
-
標籤鍵 (1)
-
標籤值 (1)
-
雲端儲存 (1)
Enabled APIs:
-
IAM 服務帳戶憑證
-
雲端資源管理器
-
身份與存取管理
-
雲端建置
-
部署管理器
-
雲端功能
-
雲端 Pub/Sub
-
秘密管理器
|
|
無代理弱點與安全威脅偵測
|
IAM & Service Accounts:
-
IAM 成員 (25)
-
服務帳戶 IAM 成員 (10)
-
iam 自訂角色 (3)
-
服務帳戶 (3)
Cloud Run Services & Jobs:
-
雲端執行 v2 服務 (22)
-
雲端執行 v2 服務 IAM 政策 (19)
-
雲端執行服務 IAM 政策 (3)
-
雲端執行 v2 工作 (4)
-
雲端執行 v2 工作 iam 政策 (4)
Cloud Scheduler:
Pub/Sub:
-
pubsub 主題 (4)
-
pubsub 訂閱 (4)
-
pubsub 主題 IAM 政策 (3)
-
pubsub 主題 IAM 成員 (3)
-
pubsub 訂閱 IAM 政策 (3)
Cloud Storage:
-
儲存桶 IAM 成員 (5)
-
儲存桶 (2)
-
儲存桶物件 (1)
Secret Manager:
-
秘密管理員秘密 (2)
-
秘密管理員秘密 IAM 政策 (2)
Workflows:
Networking:
-
計算網路 (1)
-
計算子網路 (1)
-
計算防火牆 (1)
Firestore:
Logging:
Eventarc:
Virtual Machines:
Enabled APIs:
-
雲端執行管理 API (run.googleapis.com)
-
雲端日誌 API (logging.googleapis.com)
-
IAM 服務帳戶憑證 API (iamcredentials.googleapis.com)
-
雲端計費 API (cloudbilling.googleapis.com)
-
雲端 Firestore API (firestore.googleapis.com)
-
Secret Manager API (secretmanager.googleapis.com)
-
Compute Engine API (compute.googleapis.com)
-
雲端排程器 API (cloudscheduler.googleapis.com)
-
雲端工作流程 API (workflows.googleapis.com)
-
工作流程執行 API (workflowexecutions.googleapis.com)
-
Eventarc API (eventarc.googleapis.com)
|
|
即時姿勢監控
|
Resources:
-
記錄接收器
-
發布/訂閱主題
-
Pub/Sub IAM 綁定
-
雲端儲存桶
-
雲端儲存物件
-
服務帳戶
-
雲端功能 (第二代)
-
雲端執行服務 IAM 綁定
-
Eventarc 觸發器
-
Artifact Registry 儲存庫
Enabled APIs:
-
雲端日誌 API(服務:logging.googleapis.com)
-
雲端 Pub/Sub API(服務:pubsub.googleapis.com)
-
雲端儲存 API(服務:storage.googleapis.com)
-
雲端函數 API(服務:cloudfunctions.googleapis.com)
-
雲端執行管理 API(服務:run.googleapis.com)
-
Eventarc API(服務:eventarc.googleapis.com)
-
雲端建置 API(服務:cloudbuild.googleapis.com)
-
Artifact Registry API(服務:artifactregistry.googleapis.com)
-
雲端部署管理器(服務:deploymentmanager.googleapis.com)
-
Identity and Access Management (IAM) API(服務:iam.googleapis.com)
權限:
用於部署:
-
resourcemanager.projects.get
-
iam.serviceAccounts.create
-
iam.serviceAccounts.delete
-
iam.serviceAccounts.get
-
iam.serviceAccounts.actAs
-
cloudfunctions.functions.create
-
cloudfunctions.functions.delete
-
cloudfunctions.functions.get
-
cloudfunctions.functions.update
-
run.services.get
-
run.services.setIamPolicy
-
eventarc.triggers.create
-
eventarc.triggers.delete
-
eventarc.triggers.get
-
artifactregistry.repositories.create
-
artifactregistry.repositories.get
-
pubsub.topics.create
-
pubsub.topics.delete
-
pubsub.topics.get
-
pubsub.topics.setIamPolicy
-
pubsub.topics.getIamPolicy
-
logging.sinks.create
-
logging.sinks.delete
-
logging.sinks.get
-
storage.buckets.create
-
storage.buckets.get
-
storage.buckets.delete
-
storage.objects.create
-
storage.objects.delete
-
storage.objects.get
-
deploymentmanager.deployments.get
-
deploymentmanager.deployments.delete
服務帳戶創建時使用的角色:
|
|
Data Security Posture
|
Phase: Deployment
IAM:
Networking:
-
google_compute_network (1)
-
google_compute_subnetwork (1)
-
google_compute_router (1)
-
google_compute_router_nat (1)
-
google_compute_firewall(4 到 5,條件式)
-
google_vpc_access_connector (1)
儲存空間:
-
google_storage_bucket (2)
-
google_storage_bucket_object (1)
-
google_storage_bucket_iam_member (1)
Compute:
Secret Manager:
-
google_secret_manager_secret (1)
-
google_secret_manager_secret_version (1)
-
google_secret_manager_secret_iam_member (1)
Monitoring:
-
google_monitoring_metric_descriptor (1)
-
google_monitoring_alert_policy(0 到 1,條件式)
-
google_monitoring_notification_channel(0 到 1,條件式)
Pub/Sub:
Cloud Functions:
Eventarc:
Cloud Scheduler:
Artifact Registry:
Cloud Run:
Logging:
Cloud Build:
Phase: Runtime
以下資源由應用程式代碼在運行時創建,並且不由 Terraform 管理:
-
VM 實例 (google_compute_instance):每次掃瞄工作創建,心跳超時後已終止
-
臨時外部 IP:僅限非生產環境,隨虛擬機刪除而釋放
-
秘密管理器版本:每次輪替週期產生新版本,保留最近 5 個版本
-
自訂指標時間序列資料:在虛擬機器生命週期中撰寫以進行監控
-
GCS 物件(稽核日誌):由 GCP 日誌基礎設施提供
|
