Mengonfigurasi kebijakan IAM

Halaman ini menjelaskan cara mengonfigurasi kebijakan Identity and Access Management (IAM) yang memungkinkan anggota membuat dan mengelola resource Layanan Otoritas Sertifikasi. Untuk informasi selengkapnya tentang IAM, lihat Ringkasan untuk IAM.

Kebijakan IAM umum

Di Layanan CA, Anda memberikan peran IAM kepada pengguna atau akun layanan untuk membuat dan mengelola resource Layanan CA. Anda dapat menambahkan binding peran ini di tingkat berikut:

  • Tingkat kumpulan CA untuk mengelola akses untuk kumpulan CA tertentu dan untuk CA dalam kumpulan CA tersebut.
  • Level project atau level organisasi untuk memberikan akses ke semua kumpulan CA dalam cakupan tersebut.

Peran diwariskan, jika diberikan pada level resource yang lebih tinggi. Misalnya, pengguna yang diberi peran Auditor (roles/privateca.auditor) di tingkat project dapat melihat semua resource dalam project. Kebijakan IAM yang ditetapkan pada kumpulan certificate authority (CA) diwarisi oleh semua CA dalam kumpulan CA tersebut.

Peran IAM tidak dapat diberikan pada sertifikat dan resource CA.

Kebijakan IAM bersyarat

Jika memiliki kumpulan CA bersama yang mungkin digunakan oleh beberapa pengguna yang diberi otorisasi untuk meminta berbagai jenis sertifikat, Anda dapat menentukan kondisi IAM untuk menerapkan akses berbasis atribut guna melakukan operasi tertentu pada kumpulan CA.

Dengan binding peran bersyarat IAM, Anda dapat memberikan akses ke akun utama hanya jika kondisi tertentu terpenuhi. Misalnya, jika peran Certificate Requester terikat dengan pengguna alice@example.com di kumpulan CA dengan kondisi bahwa SAN DNS yang diminta adalah subset dari ['alice@example.com', 'bob@example.com'], pengguna tersebut dapat meminta sertifikat dari kumpulan CA yang sama hanya jika SAN yang diminta adalah salah satu dari dua nilai yang diizinkan tersebut. Anda dapat menetapkan kondisi pada binding IAM menggunakan ekspresi Common Expression Language (CEL). Kondisi ini dapat membantu Anda lebih membatasi jenis sertifikat yang dapat diminta pengguna. Untuk informasi tentang cara menggunakan ekspresi CEL untuk kondisi IAM, lihat Dialek Common Expression Language (CEL) untuk kebijakan IAM.

Sebelum memulai

  • Kemudian aktifkan API
  • Buat CA dan kumpulan CA dengan mengikuti petunjuk di salah satu panduan memulai.
  • Baca tentang peran IAM yang tersedia untuk Certificate Authority Service.

Mengonfigurasi binding kebijakan IAM di tingkat project

Skenario berikut menjelaskan cara Anda dapat memberikan akses kepada pengguna ke resource Layanan CA di level project.

Mengelola resource

CA Service Admin (roles/privateca.admin) memiliki izin untuk mengelola semua resource CA Service, dan menetapkan kebijakan IAM di kumpulan CA dan template sertifikat.

Untuk menetapkan peran CA Service Admin (roles/privateca.admin) kepada pengguna di tingkat project, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka Identity and Access Management

  2. Pilih project.

  3. Klik Berikan akses.

  4. Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.

  5. Di daftar Select a role, pilih peran CA Service Admin.

  6. Klik Simpan.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Ganti kode berikut:

  • PROJECT_ID: ID unik project.
  • MEMBER: pengguna atau akun layanan yang ingin Anda tetapkan peran CA Service Admin.

Flag --role menggunakan peran IAM yang ingin Anda tetapkan kepada anggota.

Membuat resource

CA Service Operation Manager (roles/privateca.caManager) dapat membuat, memperbarui, dan menghapus kumpulan CA dan CA. Peran ini juga memungkinkan pemanggil mencabut sertifikat yang diterbitkan oleh CA dalam kumpulan CA.

Untuk menetapkan peran CA Service Operation Manager (roles/privateca.caManager) kepada pengguna di tingkat project, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka Identity and Access Management

  2. Pilih project.

  3. Klik Berikan akses.

  4. Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.

  5. Di daftar Select a role, pilih peran CA Service Operation Manager.

  6. Klik Simpan.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Ganti kode berikut:

  • PROJECT_ID: ID unik project.
  • MEMBER: pengguna atau akun layanan tempat Anda ingin menambahkan peran IAM.

Flag --role menggunakan peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk informasi selengkapnya tentang perintah gcloud projects add-iam-policy-binding, lihat gcloud projects add-iam-policy-binding.

Secara opsional, pembuatan CA menggunakan kunci Cloud KMS yang ada juga mengharuskan pemanggil menjadi administrator untuk kunci Cloud KMS.

Admin Cloud KMS (roles/cloudkms.admin) memiliki akses lengkap ke semua resource Cloud KMS, kecuali operasi enkripsi dan dekripsi. Untuk mengetahui informasi selengkapnya tentang peran IAM untuk Cloud KMS, lihat Cloud KMS: Izin dan peran.

Untuk memberikan peran Admin Cloud KMS (roles/cloudkms.admin) kepada pengguna, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Cloud Key Management Service.

    Buka Cloud Key Management Service

  2. Di bagian Key ring, klik key ring yang berisi kunci penandatanganan CA.

  3. Klik kunci yang merupakan kunci penandatanganan CA.

  4. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  5. Klik Add principal.

  6. Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.

  7. Di daftar Select a role, pilih peran Cloud KMS Admin.

  8. Klik Simpan.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Ganti kode berikut:

  • KEY: ID unik kunci.
  • KEYRING: key ring yang berisi kunci. Untuk mengetahui informasi selengkapnya tentang key ring, lihat Key ring.
  • MEMBER: pengguna atau akun layanan yang ingin Anda tambahkan binding IAM.

Flag --role menggunakan peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk informasi selengkapnya tentang perintah gcloud kms keys add-iam-policy-binding, lihat gcloud kms keys add-iam-policy-binding.

Mengaudit resource

CA Service Auditor (roles/privateca.auditor) memiliki akses baca ke semua resource di CA Service. Jika diberikan untuk kumpulan CA tertentu, akses ini akan memberikan akses baca ke kumpulan CA. Jika kumpulan CA berada di tingkat Enterprise, pengguna dengan peran ini juga dapat melihat sertifikat dan CRL yang diterbitkan oleh CA di kumpulan CA. Tetapkan peran ini kepada individu yang bertanggung jawab untuk memvalidasi keamanan dan operasi kumpulan CA.

Untuk menetapkan peran CA Service Auditor (roles/privateca.auditor) kepada pengguna di tingkat project, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka Identity and Access Management

  2. Pilih project.

  3. Klik Berikan akses.

  4. Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.

  5. Di daftar Select a role, pilih peran CA Service Auditor.

  6. Klik Simpan.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Ganti kode berikut:

  • PROJECT_ID: ID unik project.
  • MEMBER: ID unik pengguna yang ingin Anda tetapkan peran CA Service Auditor (roles/privateca.auditor).

Flag --role menggunakan peran IAM yang ingin Anda tetapkan kepada anggota.

Mengonfigurasi binding kebijakan IAM di tingkat resource

Bagian ini menjelaskan cara mengonfigurasi binding kebijakan IAM untuk resource tertentu di Layanan CA.

Mengelola kumpulan CA

Anda dapat memberikan peran CA Service Admin (roles/privateca.admin) di tingkat resource untuk mengelola kumpulan CA atau template sertifikat tertentu.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik tab Pengelola kumpulan CA, lalu pilih kumpulan CA yang ingin Anda beri izin.

  3. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  4. Klik Add principal.

  5. Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.

  6. Di daftar Select a role, pilih peran CA Service Admin.

  7. Klik Simpan. Akun utama diberi peran yang dipilih pada resource kumpulan CA.

gcloud

Untuk menetapkan kebijakan IAM, jalankan perintah berikut:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Ganti kode berikut:

  • POOL_ID: ID unik kumpulan CA yang ingin Anda tetapkan kebijakan IAM-nya.
  • LOCATION: lokasi kumpulan CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang ingin Anda tetapkan peran IAM.

Flag --role menggunakan peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk informasi selengkapnya tentang perintah gcloud privateca pools add-iam-policy-binding, lihat gcloud privateca pools add-iam-policy-binding.

Ikuti langkah-langkah yang sama untuk memberikan peran CA Service Admin pada template sertifikat.

Anda juga dapat memberikan peran CA Service Operation Manager (roles/privateca.caManager) pada kumpulan CA tertentu. Peran ini memungkinkan pemanggil mencabut sertifikat yang diterbitkan oleh CA dalam kumpulan CA tersebut.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik tab Pengelola kumpulan CA, lalu pilih kumpulan CA yang ingin Anda beri izin.

  3. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  4. Klik Add principal.

  5. Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.

  6. Di daftar Select a role, pilih peran CA Service Operation Manager.

  7. Klik Simpan. Akun utama diberi peran yang dipilih pada resource kumpulan CA tempat CA berada.

gcloud

Untuk memberikan peran bagi pool CA tertentu, jalankan perintah gcloud berikut:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Ganti kode berikut:

  • POOL_ID: ID unik kumpulan CA.
  • LOCATION: lokasi kumpulan CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: ID unik pengguna yang ingin Anda tetapkan peran Pengelola Operasi Layanan CA (roles/privateca.caManager).

Flag --role menggunakan peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk informasi selengkapnya tentang perintah gcloud privateca pools add-iam-policy-binding, lihat gcloud privateca pools add-iam-policy-binding.

Membuat sertifikat

Berikan peran CA Service Certificate Manager (roles/privateca.certificateManager) kepada pengguna agar mereka dapat mengirimkan permintaan penerbitan sertifikat ke kumpulan CA. Peran ini juga memberikan akses baca ke resource Layanan CA. Untuk hanya mengizinkan pembuatan sertifikat tanpa akses baca, berikan peran CA Service Certificate Requester (roles/privateca.certificateRequester). Untuk mengetahui informasi selengkapnya tentang peran IAM untuk Layanan CA, lihat Kontrol akses dengan IAM.

Untuk memberikan akses kepada pengguna agar dapat membuat sertifikat untuk CA tertentu, gunakan petunjuk berikut.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik Pengelola kumpulan CA, lalu pilih kumpulan CA yang izinnya ingin Anda berikan.

  3. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  4. Klik Add principal.

  5. Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.

  6. Di daftar Select a role, pilih peran CA Service Certificate Manager.

  7. Klik Simpan. Akun utama diberi peran yang dipilih pada resource kumpulan CA tempat CA berada.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Ganti kode berikut:

  • POOL_ID: ID unik kumpulan CA.
  • LOCATION: lokasi kumpulan CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: ID unik pengguna yang ingin Anda tetapkan peran Pengelola Sertifikat Layanan CA (roles/privateca.certificateManager).

Flag --role menggunakan peran IAM yang ingin Anda tetapkan kepada anggota.

Menambahkan binding kebijakan IAM ke template sertifikat

Untuk menambahkan kebijakan IAM pada template sertifikat tertentu, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik tab Template manager, lalu pilih template sertifikat yang izinnya ingin Anda berikan.

  3. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  4. Klik Add principal.

  5. Di kolom New principals, masukkan alamat email akun utama atau ID lainnya.

  6. Pilih peran yang akan diberikan dari menu drop-down Select a role.

  7. Klik Simpan.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ganti kode berikut:

  • LOCATION: lokasi template sertifikat. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: akun pengguna atau layanan yang ingin Anda tambahkan binding kebijakan IAM.
  • ROLE: peran yang ingin Anda berikan kepada anggota.

Untuk informasi selengkapnya tentang perintah gcloud privateca templates add-iam-policy-binding, lihat gcloud privateca templates add-iam-policy-binding.

Untuk mengetahui informasi selengkapnya tentang cara mengubah peran IAM pengguna, lihat Memberikan akses.

Menghapus binding kebijakan IAM

Anda dapat menghapus binding kebijakan IAM yang ada menggunakan perintah remove-iam-policy-binding Google Cloud CLI.

Untuk menghapus kebijakan IAM di kumpulan CA tertentu, gunakan perintah gcloud berikut:

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ganti kode berikut:

  • LOCATION: lokasi kumpulan CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang binding kebijakan IAM-nya ingin Anda hapus.
  • ROLE: peran yang ingin Anda hapus untuk anggota.

Untuk informasi selengkapnya tentang perintah gcloud privateca pools remove-iam-policy-binding, lihat gcloud privateca pools remove-iam-policy-binding.

Untuk menghapus kebijakan IAM pada template sertifikat tertentu, gunakan perintah gcloud berikut:

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ganti kode berikut:

  • LOCATION: lokasi template sertifikat. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang binding kebijakan IAM-nya ingin Anda hapus.
  • ROLE: peran yang ingin Anda hapus untuk anggota.

Untuk informasi selengkapnya tentang perintah gcloud privateca templates remove-iam-policy-binding, lihat gcloud privateca templates remove-iam-policy-binding.

Untuk mengetahui informasi selengkapnya tentang cara menghapus peran IAM pengguna, lihat Membatalkan akses.

Langkah selanjutnya