Membuat kebijakan akses

Halaman ini menjelaskan cara membuat kebijakan akses tingkat organisasi untuk organisasi Anda dan kebijakan cakupan untuk folder dan project di organisasi Anda.

Sebelum memulai

  • Pastikan Anda memiliki izin yang benar untuk menggunakan Access Context Manager.

Membuat kebijakan akses tingkat organisasi

Untuk organisasi, Anda tidak dapat membuat kebijakan akses tingkat organisasi jika kebijakan akses tingkat organisasi sudah ada untuk organisasi tersebut.

Konsol

Saat Anda membuat tingkat akses, kebijakan akses default akan dibuat secara otomatis. Tidak diperlukan langkah manual tambahan.

gcloud

Untuk membuat kebijakan akses tingkat organisasi, gunakan perintah create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID --title POLICY_TITLE

Dengan keterangan:

  • ORGANIZATION_ID adalah ID numerik organisasi Anda.

  • POLICY_TITLE adalah judul yang dapat dibaca manusia untuk kebijakan Anda.

Anda akan melihat output yang mirip dengan berikut ini (dengan POLICY_NAME adalah ID numerik unik untuk kebijakan yang ditetapkan oleh Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Selanjutnya, tetapkan kebijakan default.

API

Untuk membuat kebijakan akses tingkat organisasi:

  1. Buat isi permintaan.

    {
     "parent": "ORGANIZATION_ID",
     "title": "POLICY_TITLE"
    }

    Dengan keterangan:

    • ORGANIZATION_ID adalah ID numerik organisasi Anda.

    • POLICY_TITLE adalah judul yang dapat dibaca manusia untuk kebijakan Anda.

  2. Buat kebijakan akses dengan memanggil accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Isi respons

Jika berhasil, isi respons untuk panggilan akan berisi resource Operation yang memberikan detail tentang operasi POST.

Membuat kebijakan akses terbatas dan mendelegasikan kebijakan

Hanya Kontrol Layanan VPC yang mendukung pembuatan kebijakan akses terbatas. Anda harus terus menggunakan kebijakan tingkat organisasi untuk layanan Google Cloud, seperti Identity-Aware Proxy (IAP).

Konsol

  1. Di menu navigasi konsol Google Cloud, klik Keamanan, lalu klik Kontrol Layanan VPC.

    Buka Kontrol Layanan VPC

  2. Jika diminta, pilih organisasi, folder, atau project Anda.

  3. Di halaman Kontrol Layanan VPC, pilih kebijakan akses yang merupakan induk kebijakan cakupan. Misalnya, Anda dapat memilih kebijakan organisasi default policy.

  4. Klik Kelola kebijakan.

  5. Di halaman Kelola Kontrol Layanan VPC, klik Buat.

  6. Di halaman Create access policy, di kotak Access policy name, ketik nama untuk kebijakan akses terbatas.

    Nama kebijakan akses terbatas dapat memiliki panjang maksimum 50 karakter, harus dimulai dengan huruf, dan hanya boleh berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), atau garis bawah (_). Nama kebijakan akses terbatas peka huruf besar/kecil dan harus unik dalam kebijakan akses organisasi.

  7. Untuk menentukan cakupan kebijakan akses, klik Cakupan.

  8. Tentukan project atau folder sebagai cakupan kebijakan akses.

    • Untuk memilih project yang ingin Anda tambahkan ke cakupan kebijakan akses, lakukan tindakan berikut:

      1. Di panel Cakupan, klik Tambahkan project.

      2. Pada dialog Tambahkan project, pilih kotak centang project tersebut.

      3. Klik Done. Project yang ditambahkan akan muncul di bagian Cakupan.

    • Untuk memilih folder yang ingin ditambahkan ke cakupan kebijakan akses, lakukan tindakan berikut:

      1. Di panel Cakupan, klik Tambahkan folder.

      2. Di dialog Tambahkan folder, centang kotak folder tersebut.

      3. Klik Done. Folder yang ditambahkan akan muncul di bagian Cakupan.

  9. Untuk mendelegasikan administrasi kebijakan akses terbatas, klik Prinsipal.

  10. Untuk menentukan akun utama dan peran yang ingin Anda ikat ke kebijakan akses, lakukan hal berikut:

    1. Di panel Principals, klik Add principals.

    2. Pada dialog Add principals, pilih akun utama, seperti nama pengguna atau akun layanan.

    3. Pilih peran yang ingin Anda kaitkan dengan akun utama, seperti peran editor dan baca.

    4. Klik Simpan. Akun utama dan peran yang ditambahkan akan muncul di bagian Principals.

  11. Di halaman Create access policy, klik Create access policy.

gcloud

Untuk membuat kebijakan akses terbatas, gunakan perintah gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Dengan keterangan:

  • ORGANIZATION_ID adalah ID numerik organisasi Anda.

  • POLICY_TITLE adalah judul yang dapat dibaca manusia untuk kebijakan Anda. Judul kebijakan dapat memiliki panjang maksimum 50 karakter, harus dimulai dengan huruf, dan hanya boleh berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), atau garis bawah (_). Judul kebijakan peka huruf besar/kecil dan harus unik dalam kebijakan akses organisasi.

  • SCOPE adalah folder atau project tempat kebijakan ini berlaku. Anda hanya dapat menentukan satu folder atau project sebagai cakupan, dan cakupan tersebut harus ada dalam organisasi yang ditentukan. Jika Anda tidak menentukan cakupan, kebijakan akan diterapkan ke seluruh organisasi.

Output berikut akan muncul (dengan POLICY_NAME adalah ID numerik unik untuk kebijakan yang ditetapkan oleh Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Untuk mendelegasikan administrasi dengan mengikat akun utama dan peran dengan kebijakan akses terbatas, gunakan perintah add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Dengan keterangan:

  • POLICY adalah ID kebijakan atau ID yang sepenuhnya memenuhi syarat untuk kebijakan.

  • PRINCIPAL adalah akun utama yang akan ditambahkan binding-nya. Tentukan dalam format berikut: user|group|serviceAccount:email atau domain:domain.

  • ROLE adalah nama peran yang akan ditetapkan ke akun utama. Nama peran adalah jalur lengkap peran standar, seperti roles/accesscontextmanager.policyReader, atau ID peran untuk peran kustom, seperti organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.

API

Untuk membuat kebijakan akses terbatas, lakukan hal berikut:

  1. Buat isi permintaan.

    {
     "parent": "ORGANIZATION_ID",
     "scope": "SCOPE"
     "title": "POLICY_TITLE"
    }

    Dengan keterangan:

    • ORGANIZATION_ID adalah ID numerik organisasi Anda.

    • SCOPE adalah folder atau project tempat kebijakan ini berlaku.

    • POLICY_TITLE adalah judul yang dapat dibaca manusia untuk kebijakan Anda. Judul kebijakan dapat memiliki panjang maksimum 50 karakter, harus dimulai dengan huruf, dan hanya boleh berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), atau garis bawah (_). Judul kebijakan peka huruf besar/kecil dan harus unik dalam kebijakan akses organisasi.

  2. Buat kebijakan akses dengan memanggil accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Isi respons

Jika berhasil, isi respons untuk panggilan akan berisi resource Operation yang memberikan detail tentang operasi POST.

Untuk mendelegasikan administrasi kebijakan akses terbatas, lakukan hal berikut:

  1. Buat isi permintaan.

    {
     "policy": "IAM_POLICY",
    }

    Dengan keterangan:

    • IAM_POLICY adalah kumpulan binding. Binding mengikat satu atau beberapa anggota, atau akun utama, ke satu peran. Akun utama dapat berupa akun pengguna, akun layanan, grup Google, dan domain. Peran adalah daftar izin yang memiliki nama; setiap peran dapat berupa peran bawaan IAM atau peran khusus yang dibuat pengguna.
  2. Buat kebijakan akses dengan memanggil accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Isi respons

Jika berhasil, isi respons akan berisi instance policy.

Langkah selanjutnya