Membuat kebijakan akses

Halaman ini menjelaskan cara membuat kebijakan akses tingkat organisasi untuk organisasi Anda dan kebijakan cakupan untuk folder serta project di organisasi Anda.

Sebelum memulai

  • Pastikan Anda memiliki izin yang benar untuk menggunakan Access Context Manager.

Membuat kebijakan akses tingkat organisasi

Untuk organisasi, Anda tidak dapat membuat kebijakan akses tingkat organisasi jika kebijakan akses tingkat organisasi ada untuk organisasi tersebut.

Konsol

Saat Anda membuat tingkat akses, kebijakan akses default akan dibuat secara otomatis. Tidak ada langkah manual tambahan yang diperlukan.

gcloud

Untuk membuat kebijakan akses tingkat organisasi, gunakan perintah create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID --title POLICY_TITLE

Dengan keterangan:

  • ORGANIZATION_ID adalah ID numerik organisasi Anda.

  • POLICY_TITLE adalah judul yang dapat dibaca manusia untuk kebijakan Anda.

Anda akan melihat output yang serupa dengan berikut ini (dengan POLICY_NAME adalah ID numerik unik untuk kebijakan yang ditetapkan oleh Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Selanjutnya, tetapkan kebijakan default Anda.

API

Untuk membuat kebijakan akses tingkat organisasi:

  1. Buat isi permintaan.

    {
     "parent": "ORGANIZATION_ID",
     "title": "POLICY_TITLE"
    }
    

    Dengan keterangan:

    • ORGANIZATION_ID adalah ID numerik organisasi Anda.

    • POLICY_TITLE adalah judul yang dapat dibaca manusia untuk kebijakan Anda.

  2. Buat kebijakan akses dengan memanggil accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Isi respons

Jika berhasil, isi respons untuk panggilan berisi resource Operation yang memberikan detail tentang operasi POST.

Membuat kebijakan akses terbatas dan mendelegasikan kebijakan tersebut

Hanya Kontrol Layanan VPC yang mendukung pembuatan kebijakan akses terbatas. Anda harus terus menggunakan kebijakan tingkat organisasi untuk layanan Google Cloud, seperti Identity-Aware Proxy (IAP).

Konsol

  1. Di menu navigasi Konsol Google Cloud, klik Security, lalu klik VPC Service Controls.

    Buka Kontrol Layanan VPC

  2. Jika diminta, pilih organisasi, folder, atau project Anda.

  3. Di halaman Kontrol Layanan VPC, pilih kebijakan akses yang merupakan induk dari kebijakan cakupan. Misalnya, Anda dapat memilih kebijakan organisasi default policy.

  4. Klik Kelola kebijakan.

  5. Di halaman Manage VPC Service Controls, klik Create.

  6. Di halaman Create access policy, dalam kotak Access policy name, ketik nama untuk kebijakan restricted access.

    Nama kebijakan akses terbatas dapat memiliki panjang maksimum 50 karakter, harus diawali dengan huruf, dan hanya dapat berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), atau garis bawah (_). Nama kebijakan akses terbatas peka huruf besar/kecil dan harus unik dalam kebijakan akses organisasi.

  7. Untuk menentukan cakupan kebijakan akses, klik Cakupan.

  8. Tentukan project atau folder sebagai cakupan kebijakan akses.

    • Untuk memilih project yang ingin ditambahkan ke cakupan kebijakan akses, lakukan hal berikut:

      1. Di panel Scopes, klik Add project.

      2. Dalam dialog Add project, pilih kotak centang project tersebut.

      3. Klik Done. Project yang ditambahkan akan muncul di bagian Cakupan.

    • Untuk memilih folder yang ingin ditambahkan ke cakupan kebijakan akses, lakukan hal berikut:

      1. Di panel Scopes, klik Add folder.

      2. Dalam dialog Add folder, pilih kotak centang folder tersebut.

      3. Klik Done. Folder yang ditambahkan akan muncul di bagian Cakupan.

  9. Untuk mendelegasikan administrasi kebijakan akses terbatas, klik Akun.

  10. Untuk menentukan utama dan peran yang ingin Anda ikat ke kebijakan akses, lakukan tindakan berikut:

    1. Di panel Principals, klik Add principals.

    2. Pada dialog Add principals, pilih akun utama, seperti nama pengguna atau akun layanan.

    3. Pilih peran yang ingin dikaitkan dengan akun utama, seperti peran baca dan editor.

    4. Klik Simpan. Kepala sekolah dan peran yang ditambahkan akan muncul di bagian Kepala sekolah.

  11. Di halaman Buat kebijakan akses, klik Buat kebijakan akses.

gcloud

Untuk membuat kebijakan akses terbatas, gunakan perintah gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Dengan keterangan:

  • ORGANIZATION_ID adalah ID numerik organisasi Anda.

  • POLICY_TITLE adalah judul yang dapat dibaca manusia untuk kebijakan Anda. Judul kebijakan dapat memiliki panjang maksimum 50 karakter, harus diawali dengan huruf, dan hanya dapat berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), atau garis bawah (_). Judul kebijakan peka huruf besar/kecil dan harus unik dalam kebijakan akses organisasi.

  • SCOPE adalah folder atau project tempat kebijakan ini berlaku. Anda hanya dapat menentukan satu folder atau project sebagai cakupan, dan cakupan tersebut harus ada dalam organisasi yang ditentukan. Jika Anda tidak menentukan cakupan, kebijakan tersebut akan berlaku untuk seluruh organisasi.

Output berikut akan muncul (dengan POLICY_NAME adalah ID numerik unik untuk kebijakan yang ditetapkan oleh Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Untuk mendelegasikan administrasi dengan mengikat akun utama dan peran dengan kebijakan akses terbatas, gunakan perintah add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Dengan keterangan:

  • POLICY adalah ID kebijakan atau ID yang sepenuhnya memenuhi syarat untuk kebijakan.

  • PRINCIPAL adalah akun utama yang akan ditambahi binding. Tentukan dalam format berikut: user|group|serviceAccount:email atau domain:domain.

  • ROLE adalah nama peran yang akan ditetapkan ke akun utama. Nama peran adalah jalur lengkap dari peran yang telah ditetapkan, seperti roles/accesscontextmanager.policyReader, atau ID peran untuk peran khusus, misalnya organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.

API

Untuk membuat kebijakan akses terbatas, lakukan hal berikut:

  1. Buat isi permintaan.

    {
     "parent": "ORGANIZATION_ID",
     "scope": "SCOPE"
     "title": "POLICY_TITLE"
    }
    

    Dengan keterangan:

    • ORGANIZATION_ID adalah ID numerik organisasi Anda.

    • SCOPE adalah folder atau project tempat kebijakan ini berlaku.

    • POLICY_TITLE adalah judul yang dapat dibaca manusia untuk kebijakan Anda. Judul kebijakan dapat memiliki panjang maksimum 50 karakter, harus diawali dengan huruf, dan hanya dapat berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), atau garis bawah (_). Judul kebijakan peka huruf besar/kecil dan harus unik dalam kebijakan akses organisasi.

  2. Buat kebijakan akses dengan memanggil accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Isi respons

Jika berhasil, isi respons untuk panggilan berisi resource Operation yang memberikan detail tentang operasi POST.

Untuk mendelegasikan administrasi kebijakan akses terbatas, lakukan langkah berikut:

  1. Buat isi permintaan.

    {
     "policy": "IAM_POLICY",
    }
    

    Dengan keterangan:

    • IAM_POLICY adalah kumpulan binding. Binding mengikat satu atau beberapa anggota, atau akun utama, ke satu peran. Kepala sekolah dapat berupa akun pengguna, akun layanan, grup Google, dan domain. Peran merupakan sekumpulan izin yang memiliki nama. Setiap peran dapat berupa peran IAM yang telah ditetapkan atau peran khusus yang dibuat pengguna.
  2. Buat kebijakan akses dengan memanggil accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Isi respons

Jika berhasil, isi respons berisi instance policy.

Langkah selanjutnya