Mengonfigurasi kebijakan IAM
Halaman ini menjelaskan cara mengonfigurasi kebijakan Identity and Access Management (IAM) yang memungkinkan anggota membuat dan mengelola resource Certificate Authority Service. Untuk mengetahui informasi selengkapnya tentang IAM, lihat Ringkasan IAM.
Kebijakan IAM umum
Di CA Service, Anda memberikan peran IAM kepada pengguna atau akun layanan untuk membuat dan mengelola resource CA Service. Anda dapat menambahkan binding peran ini pada level berikut:
- Tingkat kumpulan CA guna mengelola akses untuk kumpulan CA tertentu dan untuk CA dalam kumpulan CA tersebut.
- Tingkat project atau tingkat organisasi untuk memberikan akses ke semua kumpulan CA dalam cakupan tersebut.
Peran diwarisi, jika diberikan pada level resource yang lebih tinggi. Misalnya, pengguna
yang diberi peran Auditor (roles/privateca.auditor
) di level project
dapat melihat semua resource dalam project. Kebijakan IAM yang
ditetapkan pada kumpulan certificate authority (CA) diwarisi oleh semua CA dalam kumpulan CA tersebut.
Peran IAM tidak dapat diberikan pada sertifikat dan resource CA.
Kebijakan IAM bersyarat
Jika Anda memiliki kumpulan CA bersama yang mungkin digunakan oleh beberapa pengguna yang diotorisasi untuk meminta jenis sertifikat yang berbeda, Anda dapat menentukan kondisi IAM untuk menerapkan akses berbasis atribut guna menjalankan operasi tertentu pada kumpulan CA.
Dengan binding peran kondisional IAM, Anda dapat memberikan akses ke akun utama
hanya jika kondisi tertentu terpenuhi. Misalnya, jika peran Pemohon Sertifikat terikat dengan alice@example.com
pengguna dalam kumpulan CA dengan kondisi bahwa SAN DNS yang diminta adalah subset dari ['alice@example.com', 'bob@example.com']
, pengguna tersebut dapat meminta sertifikat dari kumpulan CA yang sama hanya jika SAN yang diminta adalah salah satu dari dua nilai yang diizinkan tersebut. Anda dapat menetapkan kondisi pada binding
IAM menggunakan ekspresi Common Expression Language (CEL). Kondisi ini dapat
membantu Anda lebih membatasi jenis sertifikat yang dapat diminta pengguna. Untuk
mengetahui informasi tentang penggunaan ekspresi CEL untuk kondisi IAM, lihat
Dialek Common Expression Language (CEL) untuk kebijakan IAM.
Sebelum memulai
- Kemudian aktifkan API
- Buat kumpulan CA dan CA dengan mengikuti petunjuk di salah satu panduan memulai.
- Baca tentang peran IAM yang tersedia untuk Certificate Authority Service.
Mengonfigurasi binding kebijakan IAM di level project
Skenario berikut menjelaskan cara memberi pengguna akses ke resource CA Service di level project.
Mengelola sumber daya
Admin Layanan CA (roles/privateca.admin
) memiliki izin untuk mengelola semua resource Layanan CA, dan menetapkan kebijakan IAM pada kumpulan CA dan template sertifikat.
Untuk menetapkan peran CA Service Admin (roles/privateca.admin
) kepada pengguna di level project, gunakan petunjuk berikut:
Konsol
Di konsol Google Cloud, buka halaman IAM.
Pilih project.
Klik
Berikan akses.Di kolom Akun utama baru, masukkan alamat email akun utama atau ID lainnya.
Di daftar Select a role, pilih peran CA Service Admin.
Klik Simpan.
gcloud
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=roles/privateca.admin
Ganti kode berikut:
- PROJECT_ID: ID unik project.
- MEMBER: pengguna atau akun layanan yang ingin Anda tetapkan peran CA Service Admin.
Tanda --role
mengambil peran IAM yang ingin Anda tetapkan kepada anggota.
Membuat resource
CA Service Operation Manager (roles/privateca.caManager
) dapat membuat,
memperbarui, dan menghapus kumpulan CA dan CA. Peran ini juga memungkinkan pemanggil untuk mencabut
sertifikat yang diterbitkan oleh CA di kumpulan CA.
Untuk menetapkan peran CA Service Operation Manager (roles/privateca.caManager
)
kepada pengguna di level project, gunakan petunjuk berikut:
Konsol
Di konsol Google Cloud, buka halaman IAM.
Pilih project.
Klik
Berikan akses.Di kolom Akun utama baru, masukkan alamat email akun utama atau ID lainnya.
Dalam daftar Select a role, pilih peran CA Service Operation Manager.
Klik Simpan.
gcloud
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=roles/privateca.caManager
Ganti kode berikut:
- PROJECT_ID: ID unik project.
- MEMBER: pengguna atau akun layanan yang ingin Anda tambahkan peran IAM.
Tanda --role
mengambil peran IAM yang ingin Anda tetapkan kepada anggota.
Untuk mengetahui informasi selengkapnya tentang perintah gcloud projects add-iam-policy-binding
, lihat gcloud projects add-iam-policy-binding.
Secara opsional, membuat CA menggunakan kunci Cloud KMS yang ada juga mengharuskan pemanggil untuk menjadi administrator untuk kunci Cloud KMS.
Admin Cloud KMS (roles/cloudkms.admin
) memiliki akses penuh ke semua resource Cloud KMS, kecuali operasi enkripsi dan dekripsi. Untuk mengetahui informasi selengkapnya tentang peran IAM untuk Cloud KMS, lihat Cloud KMS: Izin dan peran.
Untuk memberikan peran Admin Cloud KMS (roles/cloudkms.admin
) kepada pengguna, gunakan petunjuk berikut:
Konsol
Di konsol Google Cloud, buka halaman Cloud Key Management Service.
Di bagian Key ring, klik key ring yang berisi kunci penandatanganan CA.
Klik kunci yang merupakan kunci penandatanganan CA.
Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.
Klik
Add principal.Di kolom Akun utama baru, masukkan alamat email akun utama atau ID lainnya.
Dalam daftar Select a role, pilih peran Cloud KMS Admin.
Klik Simpan.
gcloud
gcloud kms keys add-iam-policy-binding KEY \
--keyring=KEYRING --location=LOCATION \
--member=MEMBER \
--role=roles/cloudkms.admin
Ganti kode berikut:
- KEY: ID unik kunci.
- KEYRING: key ring yang berisi kunci. Untuk mengetahui informasi selengkapnya tentang key ring, lihat Key ring.
- MEMBER: pengguna atau akun layanan yang ingin Anda tambahkan binding IAM.
Tanda --role
mengambil peran IAM yang ingin Anda tetapkan kepada anggota.
Untuk mengetahui informasi selengkapnya tentang perintah gcloud kms keys add-iam-policy-binding
,
lihat gcloud kms keys add-iam-policy-binding.
Mengaudit resource
Auditor Layanan CA (roles/privateca.auditor
) memiliki akses baca ke semua resource di CA Service. Ketika diberikan untuk kumpulan CA tertentu, ia
memberikan akses baca ke kumpulan CA. Jika kumpulan CA berada di tingkat Enterprise, pengguna dengan peran ini juga dapat melihat sertifikat dan CRL yang dikeluarkan oleh CA di
kumpulan CA. Tetapkan peran ini kepada individu yang bertanggung jawab untuk memvalidasi keamanan dan operasi kumpulan CA.
Untuk menetapkan peran CA Service Auditor (roles/privateca.auditor
)
kepada pengguna di level project, gunakan petunjuk berikut:
Konsol
Di konsol Google Cloud, buka halaman IAM.
Pilih project.
Klik
Berikan akses.Di kolom Akun utama baru, masukkan alamat email akun utama atau ID lainnya.
Di daftar Select a role, pilih peran CA Service Auditor.
Klik Simpan.
gcloud
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=roles/privateca.auditor
Ganti kode berikut:
- PROJECT_ID: ID unik project.
- MEMBER: ID unik pengguna yang ingin Anda tetapkan peran CA Service Auditor (
roles/privateca.auditor
).
Tanda --role
mengambil peran IAM yang ingin Anda tetapkan kepada anggota.
Mengonfigurasi binding kebijakan IAM pada level resource
Bagian ini menjelaskan cara mengonfigurasi binding kebijakan IAM untuk resource tertentu di CA Service.
Mengelola kumpulan CA
Anda dapat memberikan peran CA Service Admin (roles/privateca.admin
) di
tingkat resource untuk mengelola kumpulan CA atau template sertifikat tertentu.
Konsol
Di konsol Google Cloud, buka halaman Certificate Authority Service.
Klik tab Pengelola kumpulan CA, lalu pilih kumpulan CA yang ingin Anda berikan izin.
Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.
Klik
Add principal.Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.
Di daftar Select a role, pilih peran CA Service Admin.
Klik Simpan. Akun utama diberi peran yang dipilih pada resource kumpulan CA.
gcloud
Untuk menetapkan kebijakan IAM, jalankan perintah berikut:
gcloud privateca pools add-iam-policy-binding POOL_ID \
--location LOCATION \
--member MEMBER \
--role roles/privateca.admin
Ganti kode berikut:
- POOL_ID: ID unik kumpulan CA yang ingin Anda tetapkan kebijakan IAM-nya.
- LOCATION: lokasi kumpulan CA. Untuk daftar lengkap lokasi, lihat Lokasi.
- MEMBER: pengguna atau akun layanan yang ingin Anda tetapkan peran IAM.
Tanda --role
mengambil peran IAM yang ingin Anda tetapkan kepada anggota.
Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools add-iam-policy-binding
,
lihat gcloud privateca pool add-iam-policy-binding.
Ikuti langkah yang sama untuk memberikan peran CA Service Admin pada template sertifikat.
Anda juga dapat memberikan peran CA Service Operation Manager (roles/privateca.caManager
)
pada kumpulan CA tertentu. Peran ini memungkinkan pemanggil mencabut sertifikat yang diterbitkan oleh CA dalam kumpulan CA tersebut.
Konsol
Di konsol Google Cloud, buka halaman Certificate Authority Service.
Klik tab Pengelola kumpulan CA, lalu pilih kumpulan CA yang ingin Anda berikan izin.
Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.
Klik
Add principal.Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.
Dalam daftar Select a role, pilih peran CA Service Operation Manager.
Klik Simpan. Akun utama diberi peran yang dipilih pada resource kumpulan CA yang memiliki CA tersebut.
gcloud
Guna memberikan peran untuk kumpulan CA tertentu, jalankan perintah gcloud
berikut:
gcloud privateca pools add-iam-policy-binding POOL_ID \
--location LOCATION \
--member MEMBER \
--role roles/privateca.caManager
Ganti kode berikut:
- POOL_ID: ID unik kumpulan CA.
- LOCATION: lokasi kumpulan CA. Untuk daftar lengkap lokasi, lihat Lokasi.
- MEMBER: ID unik pengguna yang ingin Anda tetapkan peran CA Service Operation Manager (
roles/privateca.caManager
).
Tanda --role
mengambil peran IAM yang ingin Anda tetapkan kepada anggota.
Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools add-iam-policy-binding
, lihat gcloud privateca pool add-iam-policy-binding.
Membuat sertifikat
Berikan peran CA Service Certificate Manager (roles/privateca.certificateManager
)
kepada pengguna untuk mengizinkan mereka mengirim permintaan penerbitan sertifikat ke kumpulan CA. Peran ini juga
memberikan akses baca ke resource CA Service. Untuk hanya mengizinkan pembuatan sertifikat tanpa akses baca, berikan peran CA Service Certificate Pemohon (roles/privateca.certificateRequester
). Untuk mengetahui informasi selengkapnya tentang peran IAM untuk CA Service, lihat
Kontrol akses dengan IAM.
Untuk memberikan akses kepada pengguna agar dapat membuat sertifikat untuk CA tertentu, gunakan petunjuk berikut.
Konsol
Di konsol Google Cloud, buka halaman Certificate Authority Service.
Klik Pengelola kumpulan CA, lalu pilih kumpulan CA yang ingin Anda berikan izin.
Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.
Klik
Add principal.Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.
Di daftar Select a role, pilih peran CA Service Certificate Manager.
Klik Simpan. Akun utama diberi peran yang dipilih pada resource kumpulan CA yang memiliki CA tersebut.
gcloud
gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
--location LOCATION \
--member MEMBER \
--role roles/privateca.certificateManager
Ganti kode berikut:
- POOL_ID: ID unik kumpulan CA.
- LOCATION: lokasi kumpulan CA. Untuk daftar lengkap lokasi, lihat Lokasi.
- MEMBER: ID unik pengguna yang ingin Anda tetapkan peran CA Service Certificate Manager (
roles/privateca.certificateManager
).
Tanda --role
mengambil peran IAM yang ingin Anda tetapkan kepada anggota.
Menambahkan binding kebijakan IAM ke template sertifikat
Untuk menambahkan kebijakan IAM pada template sertifikat tertentu, gunakan petunjuk berikut:
Konsol
Di konsol Google Cloud, buka halaman Certificate Authority Service.
Klik tab Pengelola template, lalu pilih template sertifikat yang ingin Anda berikan izin.
Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.
Klik
Add principal.Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.
Pilih peran yang akan diberikan dari menu drop-down Pilih peran.
Klik Simpan.
gcloud
gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
--location=LOCATION \
--member=MEMBER \
--role=ROLE
Ganti kode berikut:
- LOCATION: lokasi template sertifikat. Untuk daftar lengkap lokasi, lihat Lokasi.
- MEMBER: pengguna atau akun layanan yang ingin Anda tambahkan binding kebijakan IAM.
- ROLE: peran yang ingin diberikan kepada anggota.
Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca templates add-iam-policy-binding
, lihat gcloud privateca templates add-iam-policy-binding.
Untuk mengetahui informasi selengkapnya tentang cara mengubah peran IAM pengguna, lihat Memberikan akses.
Menghapus binding kebijakan IAM
Anda dapat menghapus binding kebijakan IAM yang ada menggunakan perintah remove-iam-policy-binding
Google Cloud CLI.
Untuk menghapus kebijakan IAM pada kumpulan CA tertentu, gunakan perintah gcloud
berikut:
gcloud
gcloud privateca pools remove-iam-policy-binding POOL_ID \
--location=LOCATION \
--member=MEMBER \
--role=ROLE
Ganti kode berikut:
- LOCATION: lokasi kumpulan CA. Untuk daftar lengkap lokasi, lihat Lokasi.
- MEMBER: pengguna atau akun layanan yang binding kebijakan IAM-nya ingin Anda hapus.
- ROLE: peran yang ingin dihapus untuk anggota.
Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools remove-iam-policy-binding
, lihat gcloud privateca pool remove-iam-policy-binding.
Untuk menghapus kebijakan IAM pada template sertifikat tertentu, gunakan perintah gcloud
berikut:
gcloud
gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
--location=LOCATION \
--member=MEMBER \
--role=ROLE
Ganti kode berikut:
- LOCATION: lokasi template sertifikat. Untuk daftar lengkap lokasi, lihat Lokasi.
- MEMBER: pengguna atau akun layanan yang binding kebijakan IAM-nya ingin Anda hapus.
- ROLE: peran yang ingin dihapus untuk anggota.
Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca templates remove-iam-policy-binding
,
lihat gcloud privateca templates remove-iam-policy-binding.
Untuk mengetahui informasi selengkapnya tentang cara menghapus peran IAM pengguna, lihat Mencabut akses.
Langkah selanjutnya
- Tinjau peran IAM untuk Layanan CA, dan izin yang terkait.
- Pelajari kebijakan template dan penerbitan.
- Pelajari cara mengelola kontrol kebijakan.