Kebijakan cakupan adalah kebijakan akses yang dicakupkan ke folder atau project tertentu beserta kebijakan akses yang dapat diterapkan ke seluruh organisasi. Anda dapat menggunakan kebijakan terbatas untuk mendelegasikan administrasi perimeter Kontrol Layanan VPC dan tingkat akses ke administrator level folder dan level project.
Organisasi hanya dapat memiliki satu kebijakan akses di tingkat organisasi, dan Anda dapat menerapkan kebijakan akses tingkat organisasi ke folder atau project apa pun di organisasi Anda.
Mungkin akan ada kasus saat Anda ingin mendelegasikan pengelolaan kebijakan untuk sebagian resource organisasi, seperti folder, kepada administrator yang didelegasikan. Anda dapat membuat kebijakan akses yang dicakupkan ke folder atau project tertentu beserta kebijakan akses yang dapat diterapkan ke seluruh organisasi. Untuk mendelegasikan administrasi perimeter Kontrol Layanan VPC dan tingkat akses ke administrator tingkat folder dan tingkat project, Anda dapat menggunakan kebijakan cakupan.
Saat Anda mendelegasikan administrasi kebijakan cakupan, administrator yang didelegasikan dapat mengubah atau membaca kebijakan khusus tersebut, bukan kebijakan Pengelola Konteks Akses organisasi. Kebijakan cakupan membatasi resource yang dapat dibatasi di perimeter Kontrol Layanan VPC dan visibilitas semua tingkat akses.
Pengelolaan kebijakan terbatas
Sebagai administrator Access Context Manager tingkat organisasi, Anda dapat membuat, mengubah, dan menghapus kebijakan cakupan. Anda dapat menentukan binding Identity and Access Management (IAM) pada kebijakan Access Context Manager secara langsung, dan mengizinkan delegasi administrasi kebijakan Access Context Manager lebih lanjut kepada pengguna lain di organisasi. Administrator kebijakan yang tercakup dapat mengonfigurasi perimeter layanan dan tingkat akses dalam kebijakan. Namun, administrator kebijakan cakupan tidak dapat membuat kebijakan baru atau mengubah cakupan kebijakan untuk diterapkan ke folder atau project lain.
Berikut urutan cara administrator mengelola kebijakan dengan cakupan:
Administrator tingkat organisasi membuat kebijakan akses baru dengan kolom cakupan yang merujuk ke folder atau project tertentu.
Administrator tingkat organisasi menetapkan izin IAM kepada administrator yang didelegasikan secara langsung di resource kebijakan akses. Administrator yang didelegasikan kini memiliki izin pada kebijakan yang dicakup, tetapi tidak memiliki izin untuk kebijakan lainnya, kecuali jika administrator tingkat organisasi secara eksplisit menetapkannya ke administrator yang didelegasikan.
Administrator yang didelegasikan kini dapat mengedit kebijakan untuk mengonfigurasi tingkat akses dan perimeter layanan. Administrator yang didelegasikan juga dapat memberikan izin IAM pada kebijakan tersebut kepada pengguna lain.
Saat Anda menghapus folder atau project, kebijakan yang memiliki folder atau project yang dihapus sebagai cakupannya juga akan dihapus. Selain itu, jika Anda memindahkan project ke node lain dalam hierarki organisasi, kebijakan yang mencakup project tersebut tidak akan otomatis diubah. Anda harus menghapus kebijakan yang terkait dengan project, lalu membuat ulang kebijakan dan menentukan cakupannya.
Hierarki kebijakan terbatas
Resource organisasi adalah node root hierarki resource Google Cloud, dan semua resource yang menjadi milik organisasi merupakan turunan dari node organisasi. Folder adalah mekanisme pengelompokan di atas project. Folder dan project ada sebagai node turunan dari resource organisasi.
Diagram berikut menunjukkan contoh organisasi yang berisi folder untuk setiap departemen, dan folder tersebut berisi project dev, pengujian, dan produksi.
Dalam contoh organisasi, batasan berikut berlaku untuk perimeter layanan atau tingkat akses dalam kebijakan cakupan:
Perimeter layanan dalam kebijakan tercakup hanya dapat membatasi resource yang ada dalam cakupan kebijakan tersebut. Misalnya, perimeter layanan dalam kebijakan yang dicakupkan ke folder engineering dapat mengamankan project example-dev, example-prod, dan example-test karena project tersebut berada dalam folder engineering.
Jika kebijakan cakupan diterapkan pada folder penjualan, perimeter layanan dalam kebijakan tersebut tidak dapat mengamankan project example-dev, example-prod, dan example-test. Namun, perimeter layanan dalam kebijakan cakupan dapat mengizinkan akses ke project di folder lain menggunakan aturan masuk dan keluar.
Tingkat akses dalam kebijakan cakupan hanya terlihat dalam cakupan kebijakan tersebut. Jika Anda membuat tingkat akses dalam kebijakan yang dicakupkan ke folder engineering, hanya perimeter layanan dan tingkat akses dalam folder engineering yang dapat menggunakannya. Perimeter layanan dan tingkat akses di folder lain tidak dapat menggunakan tingkat akses yang ditentukan dalam folder engineering.
Lokasi, seperti folder, dalam hierarki resource organisasi example.com dapat memiliki beberapa kebijakan yang berisi tingkat akses atau perimeter layanan. Jika ada beberapa kebijakan, permintaan untuk resource di organisasi example.com akan dievaluasi berdasarkan aturan berikut:
Kebijakan hanya dapat berisi satu cakupan, seperti folder, tetapi Anda dapat membuat kebijakan untuk setiap level organisasi. Misalnya, jika cakupan kebijakan 1 adalah folder engineering, Anda tidak dapat menetapkan folder engineering sebagai cakupan kebijakan lainnya. Anda dapat menetapkan kebijakan lain dengan cakupan yang ditetapkan ke turunan folder engineering, seperti example-prod.
Jika cakupan kebijakan berlaku untuk project atau induk project, Anda dapat menambahkan project ke kebijakan tersebut. Namun, project dapat menjadi anggota dari satu perimeter layanan saja di seluruh kebijakan. Misalnya, kebijakan dengan cakupan yang ditetapkan ke organisasi example.com dapat menentukan perimeter layanan dengan example-dev. Kebijakan dengan cakupan yang ditetapkan ke folder engineering atau cakupan yang ditetapkan ke project example-dev juga dapat menambahkan project example-dev ke perimeter yang ditentukan di dalamnya. Namun, hanya satu dari tiga kebijakan tersebut yang dapat memuat project ini.