Mengonfigurasi kebijakan IAM

Halaman ini menjelaskan cara mengonfigurasi kebijakan Identity and Access Management (IAM) yang memungkinkan anggota membuat dan mengelola resource Certificate Authority Service. Untuk mengetahui informasi selengkapnya tentang IAM, lihat Ringkasan IAM.

Kebijakan IAM umum

Di CA Service, Anda memberikan peran IAM kepada pengguna atau akun layanan untuk membuat dan mengelola resource CA Service. Anda dapat menambahkan binding peran ini pada level berikut:

  • Tingkat kumpulan CA guna mengelola akses untuk kumpulan CA tertentu dan untuk CA dalam kumpulan CA tersebut.
  • Tingkat project atau tingkat organisasi untuk memberikan akses ke semua kumpulan CA dalam cakupan tersebut.

Peran diwarisi, jika diberikan pada level resource yang lebih tinggi. Misalnya, pengguna yang diberi peran Auditor (roles/privateca.auditor) di level project dapat melihat semua resource dalam project. Kebijakan IAM yang ditetapkan pada kumpulan certificate authority (CA) diwarisi oleh semua CA dalam kumpulan CA tersebut.

Peran IAM tidak dapat diberikan pada sertifikat dan resource CA.

Kebijakan IAM bersyarat

Jika Anda memiliki kumpulan CA bersama yang mungkin digunakan oleh beberapa pengguna yang diotorisasi untuk meminta jenis sertifikat yang berbeda, Anda dapat menentukan kondisi IAM untuk menerapkan akses berbasis atribut guna menjalankan operasi tertentu pada kumpulan CA.

Dengan binding peran kondisional IAM, Anda dapat memberikan akses ke akun utama hanya jika kondisi tertentu terpenuhi. Misalnya, jika peran Pemohon Sertifikat terikat dengan alice@example.com pengguna dalam kumpulan CA dengan kondisi bahwa SAN DNS yang diminta adalah subset dari ['alice@example.com', 'bob@example.com'], pengguna tersebut dapat meminta sertifikat dari kumpulan CA yang sama hanya jika SAN yang diminta adalah salah satu dari dua nilai yang diizinkan tersebut. Anda dapat menetapkan kondisi pada binding IAM menggunakan ekspresi Common Expression Language (CEL). Kondisi ini dapat membantu Anda lebih membatasi jenis sertifikat yang dapat diminta pengguna. Untuk mengetahui informasi tentang penggunaan ekspresi CEL untuk kondisi IAM, lihat Dialek Common Expression Language (CEL) untuk kebijakan IAM.

Sebelum memulai

  • Kemudian aktifkan API
  • Buat kumpulan CA dan CA dengan mengikuti petunjuk di salah satu panduan memulai.
  • Baca tentang peran IAM yang tersedia untuk Certificate Authority Service.

Mengonfigurasi binding kebijakan IAM di level project

Skenario berikut menjelaskan cara memberi pengguna akses ke resource CA Service di level project.

Mengelola sumber daya

Admin Layanan CA (roles/privateca.admin) memiliki izin untuk mengelola semua resource Layanan CA, dan menetapkan kebijakan IAM pada kumpulan CA dan template sertifikat.

Untuk menetapkan peran CA Service Admin (roles/privateca.admin) kepada pengguna di level project, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka Identity and Access Management

  2. Pilih project.

  3. Klik Berikan akses.

  4. Di kolom Akun utama baru, masukkan alamat email akun utama atau ID lainnya.

  5. Di daftar Select a role, pilih peran CA Service Admin.

  6. Klik Simpan.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Ganti kode berikut:

  • PROJECT_ID: ID unik project.
  • MEMBER: pengguna atau akun layanan yang ingin Anda tetapkan peran CA Service Admin.

Tanda --role mengambil peran IAM yang ingin Anda tetapkan kepada anggota.

Membuat resource

CA Service Operation Manager (roles/privateca.caManager) dapat membuat, memperbarui, dan menghapus kumpulan CA dan CA. Peran ini juga memungkinkan pemanggil untuk mencabut sertifikat yang diterbitkan oleh CA di kumpulan CA.

Untuk menetapkan peran CA Service Operation Manager (roles/privateca.caManager) kepada pengguna di level project, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka Identity and Access Management

  2. Pilih project.

  3. Klik Berikan akses.

  4. Di kolom Akun utama baru, masukkan alamat email akun utama atau ID lainnya.

  5. Dalam daftar Select a role, pilih peran CA Service Operation Manager.

  6. Klik Simpan.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Ganti kode berikut:

  • PROJECT_ID: ID unik project.
  • MEMBER: pengguna atau akun layanan yang ingin Anda tambahkan peran IAM.

Tanda --role mengambil peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud projects add-iam-policy-binding, lihat gcloud projects add-iam-policy-binding.

Secara opsional, membuat CA menggunakan kunci Cloud KMS yang ada juga mengharuskan pemanggil untuk menjadi administrator untuk kunci Cloud KMS.

Admin Cloud KMS (roles/cloudkms.admin) memiliki akses penuh ke semua resource Cloud KMS, kecuali operasi enkripsi dan dekripsi. Untuk mengetahui informasi selengkapnya tentang peran IAM untuk Cloud KMS, lihat Cloud KMS: Izin dan peran.

Untuk memberikan peran Admin Cloud KMS (roles/cloudkms.admin) kepada pengguna, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Cloud Key Management Service.

    Buka Cloud Key Management Service

  2. Di bagian Key ring, klik key ring yang berisi kunci penandatanganan CA.

  3. Klik kunci yang merupakan kunci penandatanganan CA.

  4. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  5. Klik Add principal.

  6. Di kolom Akun utama baru, masukkan alamat email akun utama atau ID lainnya.

  7. Dalam daftar Select a role, pilih peran Cloud KMS Admin.

  8. Klik Simpan.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Ganti kode berikut:

  • KEY: ID unik kunci.
  • KEYRING: key ring yang berisi kunci. Untuk mengetahui informasi selengkapnya tentang key ring, lihat Key ring.
  • MEMBER: pengguna atau akun layanan yang ingin Anda tambahkan binding IAM.

Tanda --role mengambil peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud kms keys add-iam-policy-binding, lihat gcloud kms keys add-iam-policy-binding.

Mengaudit resource

Auditor Layanan CA (roles/privateca.auditor) memiliki akses baca ke semua resource di CA Service. Ketika diberikan untuk kumpulan CA tertentu, ia memberikan akses baca ke kumpulan CA. Jika kumpulan CA berada di tingkat Enterprise, pengguna dengan peran ini juga dapat melihat sertifikat dan CRL yang dikeluarkan oleh CA di kumpulan CA. Tetapkan peran ini kepada individu yang bertanggung jawab untuk memvalidasi keamanan dan operasi kumpulan CA.

Untuk menetapkan peran CA Service Auditor (roles/privateca.auditor) kepada pengguna di level project, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka Identity and Access Management

  2. Pilih project.

  3. Klik Berikan akses.

  4. Di kolom Akun utama baru, masukkan alamat email akun utama atau ID lainnya.

  5. Di daftar Select a role, pilih peran CA Service Auditor.

  6. Klik Simpan.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Ganti kode berikut:

  • PROJECT_ID: ID unik project.
  • MEMBER: ID unik pengguna yang ingin Anda tetapkan peran CA Service Auditor (roles/privateca.auditor).

Tanda --role mengambil peran IAM yang ingin Anda tetapkan kepada anggota.

Mengonfigurasi binding kebijakan IAM pada level resource

Bagian ini menjelaskan cara mengonfigurasi binding kebijakan IAM untuk resource tertentu di CA Service.

Mengelola kumpulan CA

Anda dapat memberikan peran CA Service Admin (roles/privateca.admin) di tingkat resource untuk mengelola kumpulan CA atau template sertifikat tertentu.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik tab Pengelola kumpulan CA, lalu pilih kumpulan CA yang ingin Anda berikan izin.

  3. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  4. Klik Add principal.

  5. Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.

  6. Di daftar Select a role, pilih peran CA Service Admin.

  7. Klik Simpan. Akun utama diberi peran yang dipilih pada resource kumpulan CA.

gcloud

Untuk menetapkan kebijakan IAM, jalankan perintah berikut:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Ganti kode berikut:

  • POOL_ID: ID unik kumpulan CA yang ingin Anda tetapkan kebijakan IAM-nya.
  • LOCATION: lokasi kumpulan CA. Untuk daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang ingin Anda tetapkan peran IAM.

Tanda --role mengambil peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools add-iam-policy-binding, lihat gcloud privateca pool add-iam-policy-binding.

Ikuti langkah yang sama untuk memberikan peran CA Service Admin pada template sertifikat.

Anda juga dapat memberikan peran CA Service Operation Manager (roles/privateca.caManager) pada kumpulan CA tertentu. Peran ini memungkinkan pemanggil mencabut sertifikat yang diterbitkan oleh CA dalam kumpulan CA tersebut.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik tab Pengelola kumpulan CA, lalu pilih kumpulan CA yang ingin Anda berikan izin.

  3. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  4. Klik Add principal.

  5. Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.

  6. Dalam daftar Select a role, pilih peran CA Service Operation Manager.

  7. Klik Simpan. Akun utama diberi peran yang dipilih pada resource kumpulan CA yang memiliki CA tersebut.

gcloud

Guna memberikan peran untuk kumpulan CA tertentu, jalankan perintah gcloud berikut:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Ganti kode berikut:

  • POOL_ID: ID unik kumpulan CA.
  • LOCATION: lokasi kumpulan CA. Untuk daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: ID unik pengguna yang ingin Anda tetapkan peran CA Service Operation Manager (roles/privateca.caManager).

Tanda --role mengambil peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools add-iam-policy-binding, lihat gcloud privateca pool add-iam-policy-binding.

Membuat sertifikat

Berikan peran CA Service Certificate Manager (roles/privateca.certificateManager) kepada pengguna untuk mengizinkan mereka mengirim permintaan penerbitan sertifikat ke kumpulan CA. Peran ini juga memberikan akses baca ke resource CA Service. Untuk hanya mengizinkan pembuatan sertifikat tanpa akses baca, berikan peran CA Service Certificate Pemohon (roles/privateca.certificateRequester). Untuk mengetahui informasi selengkapnya tentang peran IAM untuk CA Service, lihat Kontrol akses dengan IAM.

Untuk memberikan akses kepada pengguna agar dapat membuat sertifikat untuk CA tertentu, gunakan petunjuk berikut.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik Pengelola kumpulan CA, lalu pilih kumpulan CA yang ingin Anda berikan izin.

  3. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  4. Klik Add principal.

  5. Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.

  6. Di daftar Select a role, pilih peran CA Service Certificate Manager.

  7. Klik Simpan. Akun utama diberi peran yang dipilih pada resource kumpulan CA yang memiliki CA tersebut.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Ganti kode berikut:

  • POOL_ID: ID unik kumpulan CA.
  • LOCATION: lokasi kumpulan CA. Untuk daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: ID unik pengguna yang ingin Anda tetapkan peran CA Service Certificate Manager (roles/privateca.certificateManager).

Tanda --role mengambil peran IAM yang ingin Anda tetapkan kepada anggota.

Menambahkan binding kebijakan IAM ke template sertifikat

Untuk menambahkan kebijakan IAM pada template sertifikat tertentu, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik tab Pengelola template, lalu pilih template sertifikat yang ingin Anda berikan izin.

  3. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  4. Klik Add principal.

  5. Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.

  6. Pilih peran yang akan diberikan dari menu drop-down Pilih peran.

  7. Klik Simpan.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ganti kode berikut:

  • LOCATION: lokasi template sertifikat. Untuk daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang ingin Anda tambahkan binding kebijakan IAM.
  • ROLE: peran yang ingin diberikan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca templates add-iam-policy-binding, lihat gcloud privateca templates add-iam-policy-binding.

Untuk mengetahui informasi selengkapnya tentang cara mengubah peran IAM pengguna, lihat Memberikan akses.

Menghapus binding kebijakan IAM

Anda dapat menghapus binding kebijakan IAM yang ada menggunakan perintah remove-iam-policy-binding Google Cloud CLI.

Untuk menghapus kebijakan IAM pada kumpulan CA tertentu, gunakan perintah gcloud berikut:

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ganti kode berikut:

  • LOCATION: lokasi kumpulan CA. Untuk daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang binding kebijakan IAM-nya ingin Anda hapus.
  • ROLE: peran yang ingin dihapus untuk anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools remove-iam-policy-binding, lihat gcloud privateca pool remove-iam-policy-binding.

Untuk menghapus kebijakan IAM pada template sertifikat tertentu, gunakan perintah gcloud berikut:

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ganti kode berikut:

  • LOCATION: lokasi template sertifikat. Untuk daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang binding kebijakan IAM-nya ingin Anda hapus.
  • ROLE: peran yang ingin dihapus untuk anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca templates remove-iam-policy-binding, lihat gcloud privateca templates remove-iam-policy-binding.

Untuk mengetahui informasi selengkapnya tentang cara menghapus peran IAM pengguna, lihat Mencabut akses.

Langkah selanjutnya