Halaman ini diterjemahkan oleh Cloud Translation API.

Peran IAM

Halaman ini menjelaskan peran Identity and Access Management (IAM) yang dapat Anda gunakan untuk mengonfigurasi Assured Workloads. Peran membatasi kemampuan akun utama untuk mengakses resource. Hanya berikan izin yang diperlukan oleh akun utama untuk berinteraksi dengan API, fitur, atau resource Google Cloud yang berlaku.

Agar dapat membuat folder Assured Workloads, Anda harus diberi salah satu peran yang tercantum di bawah dengan kemampuan tersebut, serta peran kontrol akses Penagihan Cloud. Anda juga harus memiliki akun penagihan yang aktif dan valid. Untuk mengetahui informasi selengkapnya, lihat Ringkasan kontrol akses Penagihan Cloud.

Peran yang diperlukan

Berikut adalah peran terkait Assured Workloads minimum yang diperlukan. Untuk mempelajari cara memberikan, mengubah, atau mencabut akses ke resource menggunakan peran IAM, lihat Memberikan, mengubah, dan mencabut akses ke resource.

Assured Workloads Administrator (roles/assuredworkloads.admin): Untuk membuat dan menghapus folder Assured Workloads.
Organization Viewer Resource Manager (roles/resourcemanager.organizationViewer): Akses untuk melihat semua resource milik organisasi.

Peran Assured Workloads

Berikut adalah peran IAM yang terkait dengan Beban Kerja Terjamin, dan cara memberikan peran ini menggunakan Google Cloud CLI. Untuk mempelajari cara memberikan peran ini di konsol Google Cloud atau secara terprogram, lihat Memberikan, mengubah, dan mencabut akses ke resource dalam dokumentasi IAM.

Ganti placeholder ORGANIZATION_ID dengan ID organisasi sebenarnya dan example@customer.org dengan alamat email pengguna. Untuk mengambil ID organisasi, lihat Mengambil ID organisasi.

`roles/assuredworkloads.admin`

Untuk membuat dan menghapus folder Assured Workloads. Mengizinkan akses baca-tulis.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Mengizinkan akses baca-tulis.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Untuk mendapatkan dan mencantumkan folder Assured Workloads. Mengizinkan akses hanya baca.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Peran khusus

Jika Anda ingin menentukan peran Anda sendiri untuk berisi paket izin yang Anda tentukan, gunakan peran khusus.

Praktik terbaik IAM Assured Workloads

Mengamankan peran IAM dengan benar untuk mengikuti hak istimewa terendah adalah praktik terbaik keamanan Google Cloud. Prinsip ini mengikuti aturan bahwa pengguna hanya boleh memiliki akses ke produk, layanan, dan aplikasi yang diperlukan oleh peran mereka. Pengguna saat ini tidak dibatasi untuk menggunakan layanan di luar cakupan dengan project Assured Workloads saat men-deploy produk dan layanan di luar folder Assured Workloads.

Daftar produk dalam cakupan menurut paket kontrol membantu memandu admin keamanan saat membuat peran kustom yang membatasi akses pengguna hanya ke produk dalam cakupan dalam folder Assured Workloads. Peran kustom dapat membantu mendukung perolehan dan pemeliharaan kepatuhan dalam folder Assured Workloads.