Mengonfigurasi izin

Topik ini menunjukkan cara mengonfigurasi izin dan kredensial yang diperlukan untuk memanggil Cloud Asset Inventory API.

Mengautentikasi

Sebelum dapat memanggil Cloud Asset Inventory API, Anda harus melakukan autentikasi sebagai pengguna akhir atau sebagai akun layanan. Untuk mengetahui informasi selengkapnya tentang autentikasi, lihat Ringkasan autentikasi.

Memberikan izin yang diperlukan untuk gcloud CLI

Agar dapat menggunakan gcloud CLI untuk mengakses Cloud Asset Inventory API, Anda harus memberikan izin yang diperlukan pada induk resource target, yang dapat berupa organisasi, project, atau folder. Anda harus menentukan induk ini di kolom parent pada permintaan API Anda.

Jika akun Anda memiliki peran Pemilik Aset Cloud (roles/cloudasset.owner) atau peran dasar Pemilik (roles/owner) pada induk resource, akun tersebut memiliki izin yang memadai untuk memanggil Cloud Asset Inventory API dan Anda dapat langsung ke bagian Mendownload kredensial. Untuk mengetahui informasi selengkapnya tentang peran Inventaris Aset Cloud, lihat Peran.

Pemberian peran

Untuk memberikan peran ke akun, selesaikan langkah-langkah berikut dengan Google Cloud CLI. Pelajari cara menginstal dan menginisialisasi gcloud CLI.

Akun pengguna

Untuk memberikan peran yang diperlukan ke akun pengguna, selesaikan langkah-langkah berikut.

  1. Untuk login dengan akun pengguna Anda, jalankan perintah berikut.

    gcloud auth login USER_ACCOUNT_EMAIL

  2. Beri akun pengguna Anda peran Cloud Asset Viewer (roles/cloudasset.viewer) atau peran Cloud Asset Owner (roles/cloudasset.owner) pada resource root (induk). Project ini dapat berupa project tempat Cloud Asset Inventory API diaktifkan.

    Untuk memberikan peran Cloud Asset Viewer kepada akun pengguna Anda, jalankan perintah berikut.

    gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \
    --member user:USER_ACCOUNT_EMAIL \
    --role roles/cloudasset.viewer

    Anda dapat menambahkan flag --billing-project ke perintah gcloud asset untuk menentukan project penagihan tempat Cloud Asset Inventory API diaktifkan.

    --billing-project PROJECT_ID

    Jika menentukan flag ini, akun Anda memerlukan izin serviceusage.services.use pada PROJECT_ID project. Lihat Memahami peran untuk mengetahui daftar peran yang telah ditetapkan yang menyertakan izin ini.

Akun layanan

Untuk memberikan peran yang diperlukan ke akun layanan, selesaikan langkah-langkah berikut. Untuk informasi selengkapnya tentang akun layanan, lihat Membuat dan mengelola akun layanan.

  1. Untuk membuat akun layanan baru, jalankan perintah berikut. Jika sudah memiliki akun layanan di project yang mengaktifkan Cloud Asset Inventory API, Anda dapat melewati langkah ini.

    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
    --display-name "SERVICE_ACCOUNT_DISPLAY_NAME"

  2. Beri akun layanan Anda peran Cloud Asset Viewer (roles/cloudasset.viewer) atau peran Cloud Asset Owner (roles/cloudasset.owner) pada resource root (induk). Project ini dapat sama dengan project yang mengaktifkan Cloud Asset Inventory API.

    Untuk memberikan peran Cloud Asset Viewer kepada akun layanan Anda, jalankan perintah berikut.

    gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \
    --member serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role roles/cloudasset.viewer