Kontrol akses dengan IAM

Halaman ini menjelaskan peran IAM untuk Certificate Authority Service.

CA Service menggunakan peran Identity and Access Management (IAM) untuk kontrol akses. Dengan IAM, Anda mengontrol akses dengan menentukan siapa (identitas) yang memiliki akses (peran) apa untuk resource tertentu. Peran IAM berisi serangkaian izin yang memungkinkan pengguna melakukan tindakan tertentu pada resource Google Cloud. Dengan mengikuti prinsip hak istimewa terendah saat memberikan peran IAM, Anda dapat melindungi integritas resource Certificate Authority Service dan mengelola keamanan kumpulan CA, serta keseluruhan infrastruktur kunci publik (IKP) itu sendiri.

Untuk mempelajari cara menetapkan peran IAM ke akun pengguna atau layanan, baca Memberikan, mengubah, dan mencabut akses ke resource dalam dokumentasi IAM.

Peran yang telah ditetapkan

Tabel berikut mencantumkan peran IAM yang telah ditetapkan dan izin yang terkait dengan setiap peran tersebut:

Peran Izin Deskripsi
Auditor Layanan CA
roles/privateca.auditor
privateca.caPools.get
privateca.caPools.getIamPolicy
privateca.caPools.list
privateca.certificateAuthorities.list
privateca.certificateAuthorities.get
privateca.certificateTemplates.get
privateca.certificateTemplates.getIamPolicy
privateca.certificateTemplates.list
privateca.certificates.list
privateca.certificates.get
privateca.locations.get
privateca.locations.list
privateca.operations.get
privateca.operations.list
privateca.certificateRevocationLists.list
privateca.certificateRevocationLists.get
privateca.certificateRevocationLists.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.list
Peran CA Service Auditor memiliki akses hanya baca ke semua resource CA Service, dan dapat mengambil serta mencantumkan properti kumpulan CA, CA, sertifikat, daftar pencabutan, kebijakan IAM, dan project. Sebaiknya Anda menetapkan peran ini kepada individu yang bertanggung jawab untuk memvalidasi keamanan dan pengoperasian kumpulan CA, dan tidak memiliki tanggung jawab harian apa pun yang ditetapkan untuk mengelola layanan.
Pemohon Sertifikat Layanan CA
roles/privateca.certificateRequester
privateca.certificates.create Peran Pemohon Sertifikat Layanan CA dapat mengirim permintaan sertifikat ke kumpulan CA. Sebaiknya Anda memberikan peran ini kepada individu tepercaya yang diizinkan untuk meminta sertifikat.

Pengguna dengan peran ini dapat meminta sertifikat arbitrer yang tunduk pada kebijakan penerbitan.

Tidak seperti peran CA Service Certificate Manager, peran ini tidak mengizinkan pengguna mendapatkan atau mencantumkan sertifikat yang baru diterbitkan, atau memperoleh informasi tentang kumpulan CA.
Pemohon Sertifikat CA Service Workload
roles/privateca.workloadCertificateRequester
privateca.certificates.createForSelf Pemohon Sertifikat CA Service Workload dapat meminta sertifikat dari CA Service dengan identitas penelepon.
Pengelola Sertifikat Layanan CA
roles/privateca.certificateManager
Semua izin dari roles/privateca.auditor, serta:
privateca.certificates.create
Pengelola Sertifikat Layanan CA dapat mengirimkan permintaan penerbitan sertifikat ke kumpulan CA seperti Pemohon Sertifikat Layanan CA. Selain itu, peran ini juga mewarisi izin peran CA Service Auditor. Sebaiknya Anda menetapkan peran ini kepada individu yang bertanggung jawab membuat, melacak, dan meninjau permintaan sertifikat di kumpulan CA, seperti manajer atau lead engineer.
Pengguna Template Sertifikat Layanan CA
roles/privateca.templateUser
privateca.certificateTemplates.get
privateca.certificateTemplates.list
privateca.certificateTemplates.use
Pengguna Template Sertifikat CA Service dapat membaca, membuat daftar, dan menggunakan template sertifikat.
Manajer Operasi Layanan CA
roles/privateca.caManager
Semua izin dari roles/privateca.auditor, ditambah:
privateca.certificates.update
privateca.caPools.create
privateca.caPools.delete
privateca.caPools.update
privateca.certificateAuthorities.create
privateca.certificateAuthorities.delete
privateca.certificateAuthorities.update
privateca.certificateRevocationLists.update
privateca.certificateTemplates.create
privateca.certificateTemplates.delete
privateca.certificateTemplates.update
privateca.certificates.update
privateca.operations.cancel
privateca.operations.delete
resourcemanager.projects.get
resourcemanager.projects.list
storage.buckets.create
Pengelola Operasi Layanan CA dapat membuat, memperbarui, dan menghapus kumpulan CA dan CA. Peran ini juga dapat mencabut sertifikat dan membuat bucket Cloud Storage. CA Service Auditor juga memiliki kemampuan yang sama. Dalam peran ini, individu bertanggung jawab untuk mengonfigurasi dan men-deploy kumpulan CA di organisasi, serta mengonfigurasi kebijakan penerbitan kumpulan CA.

Peran ini tidak mengizinkan pembuatan sertifikat. Untuk melakukannya, gunakan peran Pemohon Sertifikat Layanan CA, Pengelola Sertifikat Layanan CA, atau peran Admin Layanan CA.
Admin Layanan CA
roles/privateca.admin
Semua izin dari roles/privateca.certificateManager, dan roles/privateca.caManager, serta:
privateca.*.setIamPolicy
privateca.caPools.use
privateca.operations.cancel
privateca.operations.delete
privateca.resourcemanager.projects.get
privateca.resourcemanager.projects.list
storage.buckets.create
Peran CA Service Admin mewarisi izin dari peran CA Service Operation Manager dan peran CA Service Certificate Manager. Peran ini dapat melakukan semua tindakan dalam CA Service. Admin Layanan CA dapat menetapkan kebijakan IAM untuk kumpulan CA dan membuat bucket Cloud Storage. Sebaiknya Anda jarang menetapkan peran ini setelah layanan dibuat. Dalam peran ini, individu dapat melakukan semua aspek administrasi termasuk memberikan hak kepada orang lain dan mengelola permintaan sertifikat di CA Service. Sebaiknya Anda menerapkan kontrol dan akses khusus ke akun peran ini untuk mencegah akses atau penggunaan yang tidak sah.

Peran CA Service Service Agent

Saat memberikan kunci penandatanganan Cloud KMS atau bucket Cloud Storage yang ada selama pembuatan CA, akun layanan Agen Layanan CA (service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com) harus diberi akses ke resource masing-masing.

Untuk Cloud KMS, roles/cloudkms.signerVerifier diperlukan agar dapat menggunakan kunci penandatanganan dan membaca kunci publik. roles/viewer diperlukan untuk memantau kunci integrasi Cloud Monitoring.

Untuk Cloud Storage, roles/storage.objectAdmin diperlukan untuk menulis sertifikat CA dan CRL ke bucket. roles/storage.legacyBucketReader diperlukan guna memantau bucket untuk integrasi Cloud Monitoring. Untuk mengetahui informasi lebih lanjut, baca artikel Peran IAM untuk Cloud Storage.

Saat mengakses layanan melalui API, jalankan perintah berikut.

  1. Buat akun layanan dengan peran Agen Layanan.

    gcloud

    gcloud beta services identity create --service=privateca.googleapis.com --project=PROJECT_ID
    

    Dengan keterangan:

    • PROJECT_ID adalah ID unik project tempat kumpulan CA dibuat.
  2. Beri akun layanan Anda peran roles/cloudkms.signerVerifier dan roles/viewer menggunakan perintah gcloud berikut.

    Jika kunci penandatanganan Cloud KMS yang ada diberikan:

    gcloud

    gcloud kms keys add-iam-policy-binding 'CRYPTOKEY_NAME' \
      --keyring='KEYRING_NAME' \
      --location='LOCATION' \
      --member='serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com' \
      --role='roles/cloudkms.signerVerifier'
    

    Dengan keterangan:

    • 'CRYPTOKEY_NAME' adalah nama kunci Anda.
    • 'KEYRING_NAME' adalah nama key ring Anda.
    • 'LOCATION' adalah lokasi Cloud KMS tempat Anda membuat key ring.
    • 'PROJECT_NUMBER' adalah nama akun layanan Anda.
    gcloud kms keys add-iam-policy-binding 'CRYPTOKEY_NAME' \
      --keyring='KEYRING_NAME' \
      --location='LOCATION' \
      --member='serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com' \
      --role='roles/viewer'
    

    Jika bucket Cloud Storage yang sudah ada disediakan, gunakan alat command line gsutil untuk mengikat peran yang diperlukan untuk bucket Cloud Storage.

    gsutil

    gsutil iam ch serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com:roles/storage.objectAdmin gs://BUCKET_NAME
    

    Dengan keterangan:

    • PROJECT_NUMBER adalah ID unik akun layanan Anda.
    • BUCKET_NAME adalah nama bucket Cloud Storage Anda.
    gsutil iam ch serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com:roles/storage.legacyBucketReader gs://BUCKET_NAME
    

Izin API

Tabel berikut mencantumkan izin yang harus dimiliki pemanggil untuk memanggil setiap metode di CA Service API:

Izin Deskripsi
privateca.caPools.create Membuat kumpulan certificate authority (CA).
privateca.caPools.update Memperbarui kumpulan CA.
privateca.caPools.list Mencantumkan kumpulan CA dalam project.
privateca.caPools.get Mengambil kumpulan CA.
privateca.caPools.delete Menghapus kumpulan CA.
privateca.caPools.getIamPolicy Mengambil kebijakan IAM kumpulan CA.
privateca.caPools.setIamPolicy Menetapkan kebijakan IAM untuk kumpulan CA.
privateca.certificateAuthorities.create Membuat CA.
privateca.certificateAuthorities.delete Menjadwalkan CA untuk penghapusan.
privateca.certificateAuthorities.get Dapatkan permintaan penandatanganan sertifikat CA atau CA.
privateca.certificateAuthorities.list Membuat daftar CA dalam project.
privateca.certificateAuthorities.update Memperbarui CA, termasuk mengaktifkan, mengaktifkan, menonaktifkan, dan memulihkan CA.
privateca.certificates.create Meminta sertifikat dari CA Service.
privateca.certificates.createForSelf Minta sertifikat dari CA Service dengan identitas penelepon.
privateca.certificates.get Mendapatkan sertifikat dan metadatanya.
privateca.certificates.list Mencantumkan semua sertifikat dalam CA.
privateca.certificates.update Memperbarui metadata sertifikat, termasuk pencabutan.
privateca.certificateRevocationLists.get Mendapatkan daftar pencabutan sertifikat (CRL) di CA.
privateca.certificateRevocationLists.getIamPolicy Mendapatkan kebijakan IAM untuk CRL.
privateca.certificateRevocationLists.list Mencantumkan semua CRL di CA.
privateca.certificateRevocationLists.setIamPolicy Tetapkan kebijakan IAM untuk CRL.
privateca.certificateRevocationLists.update Memperbarui CRL.
privateca.certificateTemplates.create Buat template sertifikat.
privateca.certificateTemplates.get Ambil template sertifikat.
privateca.certificateTemplates.list Mencantumkan semua template sertifikat.
privateca.certificateTemplates.update Memperbarui template sertifikat.
privateca.certificateTemplates.delete Menghapus template sertifikat.
privateca.certificateTemplates.getIamPolicy Mendapatkan kebijakan IAM untuk template sertifikat.
privateca.certificateTemplates.setIamPolicy Menetapkan kebijakan IAM untuk template sertifikat.
privateca.certificateTemplates.use Gunakan template sertifikat.
privateca.operations.cancel Membatalkan operasi yang berjalan lama.
privateca.operations.delete Menghapus operasi yang berjalan lama.
privateca.operations.get Mendapatkan operasi yang berjalan lama.
privateca.operations.list Mencantumkan operasi yang berjalan lama di sebuah project.

Langkah selanjutnya