Kebijakan cakupan adalah kebijakan akses yang dicakup untuk folder atau project tertentu bersama dengan kebijakan akses yang dapat Anda terapkan ke seluruh organisasi. Anda dapat menggunakan kebijakan cakupan untuk mendelegasikan administrasi perimeter Kontrol Layanan VPC dan tingkat akses kepada administrator tingkat folder dan project.
Organisasi hanya dapat memiliki satu kebijakan akses di tingkat organisasi, dan Anda dapat menerapkan kebijakan akses tingkat organisasi ke folder atau project apa pun di organisasi Anda.
Mungkin ada saatnya Anda ingin mendelegasikan pengelolaan kebijakan untuk subkumpulan resource organisasi, seperti folder, kepada administrator yang didelegasikan. Anda dapat membuat kebijakan akses yang dicakup untuk folder atau project tertentu bersama dengan kebijakan akses yang dapat diterapkan ke seluruh organisasi. Untuk mendelegasikan administrasi perimeter dan tingkat akses Kontrol Layanan VPC kepada administrator tingkat folder dan tingkat project, Anda dapat menggunakan kebijakan cakupan.
Saat Anda mendelegasikan administrasi kebijakan cakupan, administrator yang didelegasikan dapat mengubah atau membaca kebijakan spesifik tersebut, bukan kebijakan Access Context Manager organisasi. Kebijakan cakupan membatasi resource yang dapat dibatasi di perimeter Kontrol Layanan VPC, dan visibilitas tingkat akses apa pun.
Pengelolaan kebijakan terbatas
Sebagai administrator Access Context Manager tingkat organisasi, Anda dapat membuat, mengubah, dan menghapus kebijakan cakupan. Anda dapat menentukan binding Identity and Access Management (IAM) pada kebijakan Access Context Manager secara langsung, dan mengizinkan delegasi lebih lanjut administrasi kebijakan Access Context Manager kepada pengguna lain di organisasi. Administrator kebijakan terbatas dapat mengonfigurasi perimeter layanan dan tingkat akses dalam kebijakan. Namun, administrator kebijakan cakupan tidak dapat membuat kebijakan baru atau mengubah cakupan kebijakan untuk diterapkan ke folder atau project lain.
Berikut adalah urutan cara administrator mengelola kebijakan cakupan:
Administrator tingkat organisasi membuat kebijakan akses baru dengan kolom cakupan yang mereferensikan folder atau project tertentu.
Administrator tingkat organisasi menetapkan izin IAM kepada administrator yang didelegasikan langsung di resource kebijakan akses. Administrator yang didelegasikan kini memiliki izin pada kebijakan cakupan, tetapi tidak memiliki izin pada kebijakan lain kecuali jika administrator tingkat organisasi secara eksplisit menetapkannya kepada administrator yang didelegasikan.
Administrator yang didelegasikan kini dapat mengedit kebijakan untuk mengonfigurasi tingkat akses dan perimeter layanan. Administrator yang didelegasikan juga dapat memberikan izin IAM pada kebijakan tersebut kepada pengguna lain.
Saat Anda menghapus folder atau project, kebijakan yang memiliki folder atau project yang dihapus sebagai cakupannya juga akan dihapus. Selain itu, jika Anda memindahkan project ke node lain dalam hierarki organisasi, kebijakan yang dicakup untuk project tidak akan otomatis diubah. Anda harus menghapus kebijakan yang terkait dengan project, lalu membuat ulang kebijakan dan menentukan cakupannya.
Hierarki kebijakan terbatas
Resource organisasi adalah node root hierarki resource Google Cloud dan semua resource yang dimiliki organisasi ada sebagai turunan dari node organisasi. Folder adalah mekanisme pengelompokan di atas project. Folder dan project ada sebagai node turunan dari resource organisasi.
Diagram berikut menunjukkan contoh organisasi yang berisi folder untuk setiap departemen, dan folder berisi project pengembangan, pengujian, dan produksi.
Dalam contoh organisasi, batasan berikut berlaku untuk perimeter layanan atau tingkat akses dalam kebijakan cakupan:
Perimeter layanan dalam kebijakan cakupan hanya dapat membatasi resource yang ada dalam cakupan kebijakan tersebut. Misalnya, perimeter layanan dalam kebijakan yang dicakupkan ke folder engineering dapat mengamankan project example-dev, example-prod, dan example-test karena project tersebut berada di folder engineering.
Jika kebijakan cakupan berlaku untuk folder penjualan, perimeter layanan dalam kebijakan tersebut tidak dapat mengamankan project contoh-dev, contoh-prod, dan contoh-test. Namun, perimeter layanan dalam kebijakan cakupan dapat mengizinkan akses ke project di folder lain menggunakan aturan masuk dan keluar.
Tingkat akses dalam kebijakan cakupan hanya terlihat dalam cakupan kebijakan. Jika Anda membuat tingkat akses dalam kebijakan yang dicakupkan ke folder engineering, hanya perimeter layanan dan tingkat akses di folder engineering yang dapat menggunakannya. Perimeter layanan dan tingkat akses di folder lain tidak dapat menggunakan tingkat akses yang ditentukan di folder engineering.
Lokasi, seperti folder, dalam hierarki resource organisasi example.com dapat memiliki beberapa kebijakan yang berisi tingkat akses atau perimeter layanan. Jika ada beberapa kebijakan, permintaan untuk resource di organisasi example.com akan dievaluasi berdasarkan aturan berikut:
Kebijakan hanya dapat berisi satu cakupan, seperti folder, tetapi Anda dapat membuat kebijakan untuk setiap tingkat organisasi. Misalnya, jika cakupan kebijakan 1 adalah folder engineering, Anda tidak dapat menetapkan folder engineering sebagai cakupan kebijakan lainnya. Anda dapat menetapkan kebijakan lain dengan cakupan yang ditetapkan ke turunan folder engineering, seperti example-prod.
Jika cakupan kebijakan berlaku untuk project atau induk project, Anda dapat menambahkan project ke kebijakan. Namun, project hanya dapat menjadi anggota satu perimeter layanan di semua kebijakan. Misalnya, Kebijakan dengan cakupan yang ditetapkan ke organisasi example.com dapat menentukan perimeter layanan dengan example-dev. Kebijakan dengan cakupan yang ditetapkan ke folder engineering atau cakupan yang ditetapkan ke project example-dev juga dapat menambahkan project example-dev ke perimeter yang ditentukan dalam salah satu dari keduanya. Namun, hanya satu dari tiga kebijakan tersebut yang dapat berisi project ini.