Peran IAM

Halaman ini menjelaskan peran Identity and Access Management (IAM) yang dapat Anda gunakan untuk mengonfigurasi Assured Workloads. Peran membatasi kemampuan akun utama untuk mengakses resource. Hanya berikan izin yang diperlukan akun utama untuk berinteraksi dengan API, fitur, atau resource Google Cloud yang berlaku.

Agar dapat membuat folder Assured Workloads, Anda harus diberi salah satu peran yang tercantum di bawah ini dengan kemampuan tersebut, serta peran kontrol akses Penagihan Cloud. Anda juga harus memiliki akun penagihan yang aktif dan valid. Untuk mengetahui informasi selengkapnya, lihat Ringkasan kontrol akses Penagihan Cloud.

Peran yang diperlukan

Berikut adalah peran minimum yang diperlukan terkait Assured Workloads. Untuk mempelajari cara memberikan, mengubah, atau mencabut akses ke resource menggunakan peran IAM, lihat Memberikan, mengubah, dan mencabut akses ke resource.

Assured Workloads Administrator (roles/assuredworkloads.admin): Untuk membuat dan menghapus folder Assured Workloads.
Resource Manager Organization Viewer (roles/resourcemanager.organizationViewer): Akses untuk melihat semua resource milik organisasi.

Peran Assured Workloads

Berikut adalah peran IAM yang terkait dengan Assured Workloads, dan cara memberikan peran ini menggunakan Google Cloud CLI. Untuk mempelajari cara memberikan peran ini di Google Cloud Console atau secara terprogram, lihat Memberikan, mengubah, dan mencabut akses ke resource dalam dokumentasi IAM.

Ganti placeholder ORGANIZATION_ID dengan ID organisasi yang sebenarnya dan example@customer.org dengan alamat email pengguna. Untuk mengambil ID organisasi, baca artikel Mengambil ID organisasi.

`roles/assuredworkloads.admin`

Untuk membuat dan menghapus folder Assured Workloads. Mengizinkan akses baca-tulis.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Mengizinkan akses baca-tulis.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Untuk mendapatkan dan mencantumkan folder Assured Workloads. Mengizinkan akses hanya baca.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Peran khusus

Jika Anda ingin menentukan peran sendiri agar berisi paket izin yang Anda tentukan, gunakan peran khusus.

Praktik terbaik IAM Assured Workloads

Mengamankan peran IAM dengan benar agar mengikuti hak istimewa terendah adalah praktik terbaik keamanan Google Cloud. Prinsip ini mengikuti aturan bahwa pengguna hanya boleh memiliki akses ke produk, layanan, dan aplikasi yang diperlukan oleh peran mereka. Saat ini, pengguna tidak dibatasi untuk menggunakan layanan di luar cakupan dengan project Assured Workloads ketika men-deploy produk dan layanan di luar folder Assured Workloads.

Daftar produk dalam cakupan berdasarkan paket kontrol membantu memandu admin keamanan saat membuat peran khusus yang membatasi akses pengguna hanya ke produk dalam cakupan dalam folder Assured Workloads. Peran khusus dapat membantu mendukung perolehan dan pemeliharaan kepatuhan dalam folder Assured Workloads.