Menerapkan akses berbasis sertifikat dengan grup pengguna

Halaman ini menjelaskan cara menerapkan akses berbasis sertifikat (CBA) dengan grup pengguna.

Anda dapat membatasi akses ke semua layanan Google Cloud, termasuk Google Cloud Console, dengan mengikat tingkat akses CBA ke grup pengguna yang aksesnya ingin Anda batasi.

Sebelum melanjutkan ke prosedur, pastikan sebelumnya Anda telah membuat tingkat akses CBA yang memerlukan sertifikat saat menentukan akses ke resource.

Membuat grup pengguna

Buat grup pengguna yang berisi anggota yang seharusnya diberi akses berdasarkan tingkat akses CBA.

Menetapkan peran Cloud Access Binding Admin

Tetapkan peran Cloud Access Binding Admin ke grup pengguna dengan menyelesaikan langkah-langkah berikut:

Konsol

  1. Di konsol, buka halaman IAM.

    Buka IAM

  2. Klik Add, lalu konfigurasikan hal berikut:

    1. Akun utama baru: Tentukan grup yang ingin Anda berikan peran.
    2. Pilih peran, lalu pilih Access Context Manager > Cloud Access Binding Admin.
    3. Klik Simpan.

gcloud CLI

  1. Pastikan Anda mendapatkan otorisasi dengan hak istimewa yang memadai untuk menambahkan izin IAM di tingkat organisasi. Setidaknya, Anda memerlukan peran Organization Admin.

    Setelah mengonfirmasi bahwa Anda memiliki izin yang tepat, login:

    gcloud auth login
    
  2. Tetapkan peran GcpAccessAdmin dengan menjalankan perintah berikut:

    gcloud organizations add-iam-policy-binding ORG_ID \
      --member=user:EMAIL \
      --role=roles/accesscontextmanager.gcpAccessAdmin
    
    • ORG_ID adalah ID untuk organisasi Anda. Jika belum memiliki ID organisasi, Anda dapat menggunakan perintah berikut untuk menemukannya:

       gcloud organizations list
      
    • EMAIL adalah alamat email orang atau grup yang ingin Anda berikan peran.

Mengikat tingkat akses CBA ke grup pengguna

  1. Di konsol, buka halaman BeyondCorp Enterprise.

    Buka BeyondCorp Enterprise

  2. Pilih organisasi, lalu klik Pilih.

  3. Klik Kelola akses untuk memilih grup pengguna yang harus memiliki akses.

  4. Klik Add, lalu konfigurasikan hal-hal berikut:

    1. Grup anggota: Menentukan grup yang ingin Anda beri akses. Anda hanya dapat memilih grup yang belum terikat ke tingkat akses.
    2. Memilih tingkat akses: Pilih tingkat akses CBA yang akan diterapkan ke grup.
    3. Klik Simpan.