檢視次數:

了解在您的 Google Cloud 環境中為每個 TrendAI Vision One™ 功能部署了哪些資源,這些功能可以在 Google Cloud 專案中啟用。關於每個功能和權限集的詳細資訊,請參閱 Google 雲端功能和權限

按功能部署的 Google Cloud 專案服務

功能名稱
Google 雲端專案服務已部署(數量)
核心功能和權限
Resources:
  • 服務帳戶 (1)
  • 工作負載身份池 (1)
  • 工作負載身份池提供者 (1)
  • IAM (3)
  • 標籤鍵 (1)
  • 標籤值 (1)
  • 雲端儲存 (1)
Enabled APIs:
  • IAM 服務帳戶憑證
  • 雲端資源管理器
  • 身份與存取管理
  • 雲端建置
  • 部署管理器
  • 雲端功能
  • 雲端 Pub/Sub
  • 秘密管理器
無代理弱點與安全威脅偵測
Resources
  • 控制平面服務帳戶
  • 客戶角色服務帳戶
  • 資料平面服務帳戶
如需每個服務帳戶必要的權限的詳細資訊,請參閱Google 雲端必要的權限
即時姿勢監控
Resources:
  • 記錄接收器
  • 發布/訂閱主題
  • Pub/Sub IAM 綁定
  • 雲端儲存桶
  • 雲端儲存物件
  • 服務帳戶
  • 雲端功能 (第二代)
  • 雲端執行服務 IAM 綁定
  • Eventarc 觸發器
  • Artifact Registry 儲存庫
Enabled APIs:
  • 雲端日誌 API(服務:logging.googleapis.com)
  • 雲端 Pub/Sub API(服務:pubsub.googleapis.com)
  • 雲端儲存 API(服務:storage.googleapis.com)
  • 雲端函數 API(服務:cloudfunctions.googleapis.com)
  • 雲端執行管理 API(服務:run.googleapis.com)
  • Eventarc API(服務:eventarc.googleapis.com)
  • 雲端建置 API(服務:cloudbuild.googleapis.com)
  • Artifact Registry API(服務:artifactregistry.googleapis.com)
  • 雲端部署管理器(服務:deploymentmanager.googleapis.com)
  • Identity and Access Management (IAM) API(服務:iam.googleapis.com)
權限:
用於部署:
  • resourcemanager.projects.get
  • iam.serviceAccounts.create
  • iam.serviceAccounts.delete
  • iam.serviceAccounts.get
  • iam.serviceAccounts.actAs
  • cloudfunctions.functions.create
  • cloudfunctions.functions.delete
  • cloudfunctions.functions.get
  • cloudfunctions.functions.update
  • run.services.get
  • run.services.setIamPolicy
  • eventarc.triggers.create
  • eventarc.triggers.delete
  • eventarc.triggers.get
  • artifactregistry.repositories.create
  • artifactregistry.repositories.get
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.get
  • pubsub.topics.setIamPolicy
  • pubsub.topics.getIamPolicy
  • logging.sinks.create
  • logging.sinks.delete
  • logging.sinks.get
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.delete
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.delete
服務帳戶創建時使用的角色:
  • 角色/運行.調用者
  • 角色/發布者
Data Security Posture
Phase: Deployment
IAM:
  • Google 服務帳戶 (1)
  • google_project_iam_member (14)
Networking:
  • google_compute_network (1)
  • google_compute_subnetwork (1)
  • google_compute_router (1)
  • google_compute_router_nat (1)
  • google_compute_firewall(4 到 5,條件式)
  • google_vpc_access_connector (1)
儲存空間:
  • google_storage_bucket (2)
  • google_storage_bucket_object (1)
  • google_storage_bucket_iam_member (1)
Compute:
  • google_compute_disk(0 到 1,條件式)
Secret Manager:
  • google_secret_manager_secret (1)
  • google_secret_manager_secret_version (1)
  • google_secret_manager_secret_iam_member (1)
Monitoring:
  • google_monitoring_metric_descriptor (1)
  • google_monitoring_alert_policy(0 到 1,條件式)
  • google_monitoring_notification_channel(0 到 1,條件式)
Pub/Sub:
  • google_pubsub_topic (2 到 3)
  • google_pubsub_subscription (1)
Cloud Functions:
  • google_cloudfunctions2_function (2)
  • google_cloudfunctions2_function_iam_member(0 到 1,條件式)
Eventarc:
  • google_eventarc_trigger(0 到 1,條件式)
Cloud Scheduler:
  • google_cloud_scheduler_job (1 到 2)
Artifact Registry:
  • google_artifact_registry_repository (1)
Cloud Run:
  • google_cloud_run_v2_service (1)
Logging:
  • google_logging_project_sink(0 到 1,條件式)
Cloud Build:
  • google_cloudbuild_trigger(0 到 1,條件式)
Phase: Runtime
以下資源由應用程式代碼在運行時創建,並且不由 Terraform 管理:
  • VM 實例 (google_compute_instance):每次掃瞄工作創建,心跳超時後已終止
  • 臨時外部 IP:僅限非生產環境,隨虛擬機刪除而釋放
  • 秘密管理器版本:每次輪替週期產生新版本,保留最近 5 個版本
  • 自訂指標時間序列資料:在虛擬機器生命週期中撰寫以進行監控
  • GCS 物件(稽核日誌):由 GCP 日誌基礎設施提供