Halaman ini diterjemahkan oleh Cloud Translation API.

Kontrol akses dengan IAM

Halaman ini menjelaskan peran IAM untuk Certificate Authority Service.

Layanan CA menggunakan peran Identity and Access Management (IAM) untuk kontrol akses. Dengan IAM, Anda mengontrol akses dengan menentukan siapa (identitas) yang memiliki akses (peran) untuk resource tertentu. Peran IAM berisi serangkaian izin yang memungkinkan pengguna melakukan tindakan tertentu pada resource Google Cloud. Dengan mengikuti prinsip hak istimewa terendah saat memberikan peran IAM, Anda dapat melindungi integritas resource Certificate Authority Service dan mengelola keamanan kumpulan CA, serta infrastruktur kunci publik (PKI) secara keseluruhan.

Untuk mempelajari cara menetapkan peran IAM ke akun pengguna atau layanan, baca Memberikan, mengubah, dan mencabut akses ke resource dalam dokumentasi IAM.

Peran yang telah ditetapkan

Tabel berikut mencantumkan peran IAM yang telah ditetapkan dan izin yang terkait dengan setiap peran:

Peran	Izin	Deskripsi
CA Service Auditor `roles/privateca.auditor`	`privateca.caPools.get` `privateca.caPools.getIamPolicy` `privateca.caPools.list` `privateca.certificateAuthorities.list` `privateca.certificateAuthorities.get` `privateca.certificateTemplates.get` `privateca.certificateTemplates.getIamPolicy` `privateca.certificateTemplates.list` `privateca.certificates.list` `privateca.certificates.get` `privateca.locations.get` `privateca.locations.list` `privateca.operations.get` `privateca.operations.list` `privateca.certificateRevocationLists.list` `privateca.certificateRevocationLists.get` `privateca.certificateRevocationLists.getIamPolicy` `resourcemanager.projects.get` `resourcemanager.projects.list`	Peran CA Service Auditor memiliki akses hanya baca ke semua resource CA Service, dan dapat mengambil serta mencantumkan properti kumpulan CA, CA, sertifikat, daftar pencabutan, kebijakan IAM, dan project. Sebaiknya tetapkan peran ini kepada individu yang bertanggung jawab untuk memvalidasi keamanan dan operasi kumpulan CA, dan tidak memiliki tanggung jawab harian yang ditetapkan untuk mengelola layanan.
CA Service Certificate Requester `roles/privateca.certificateRequester`	`privateca.certificates.create`	Peran CA Service Certificate Requester dapat mengirimkan permintaan sertifikat ke kumpulan CA. Sebaiknya berikan peran ini kepada individu tepercaya yang diizinkan untuk meminta sertifikat. Pengguna dengan peran ini dapat meminta sertifikat arbitrer yang tunduk pada kebijakan penerbitan. Tidak seperti peran Pengelola Sertifikat Layanan CA, peran ini tidak mengizinkan pengguna untuk mendapatkan atau mencantumkan sertifikat yang baru diterbitkan, atau mendapatkan informasi apa pun tentang kumpulan CA.
CA Service Workload Certificate Requester `roles/privateca.workloadCertificateRequester`	`privateca.certificates.createForSelf`	CA Service Workload Certificate Requester dapat meminta sertifikat dari CA Service dengan identitas pemanggil.
CA Service Certificate Manager `roles/privateca.certificateManager`	Semua izin dari `roles/privateca.auditor`, ditambah: `privateca.certificates.create`	CA Service Certificate Manager dapat mengirimkan permintaan penerbitan sertifikat ke kumpulan CA seperti CA Service Certificate Requester. Selain itu, peran ini juga mewarisi izin peran CA Service Auditor. Sebaiknya tetapkan peran ini kepada individu yang bertanggung jawab untuk membuat, melacak, dan meninjau permintaan sertifikat di kumpulan CA, seperti manajer atau engineer utama.
Pengguna Template Sertifikat Layanan CA `roles/privateca.templateUser`	`privateca.certificateTemplates.get` `privateca.certificateTemplates.list` `privateca.certificateTemplates.use`	Pengguna Template Sertifikat Layanan CA dapat membaca, mencantumkan, dan menggunakan template sertifikat.
CA Service Operation Manager `roles/privateca.caManager`	Semua izin dari `roles/privateca.auditor`, ditambah: `privateca.certificates.update` `privateca.caPools.create` `privateca.caPools.delete` `privateca.caPools.update` `privateca.certificateAuthorities.create` `privateca.certificateAuthorities.delete` `privateca.certificateAuthorities.update` `privateca.certificateRevocationLists.update` `privateca.certificateTemplates.create` `privateca.certificateTemplates.delete` `privateca.certificateTemplates.update` `privateca.certificates.update` `privateca.operations.cancel` `privateca.operations.delete` `resourcemanager.projects.get` `resourcemanager.projects.list` `storage.buckets.create`	Pengelola Operasi Layanan CA dapat membuat, memperbarui, dan menghapus kumpulan CA dan CA. Peran ini juga dapat mencabut sertifikat dan membuat bucket Cloud Storage. Alat ini juga mencakup kemampuan yang sama seperti CA Service Auditor. Dalam peran ini, individu bertanggung jawab untuk mengonfigurasi dan men-deploy kumpulan CA di organisasi, beserta mengonfigurasi kebijakan penerbitan kumpulan CA. Peran ini tidak mengizinkan pembuatan sertifikat. Untuk melakukannya, gunakan peran CA Service Certificate Requester, CA Service Certificate Manager, atau CA Service Admin.
CA Service Admin `roles/privateca.admin`	Semua izin dari `roles/privateca.certificateManager`, dan `roles/privateca.caManager`, ditambah: `privateca.*.setIamPolicy` `privateca.caPools.use` `privateca.operations.cancel` `privateca.operations.delete` `privateca.resourcemanager.projects.get` `privateca.resourcemanager.projects.list` `storage.buckets.create`	Peran CA Service Admin mewarisi izin dari peran CA Service Operation Manager dan CA Service Certificate Manager. Peran ini dapat melakukan semua tindakan dalam CA Service. Admin Layanan CA dapat menetapkan kebijakan IAM untuk kumpulan CA dan membuat bucket Cloud Storage. Sebaiknya Anda jarang menetapkan peran ini setelah layanan dibuat. Dalam peran ini, individu dapat melakukan semua aspek administrasi, termasuk menetapkan hak kepada orang lain dan mengelola permintaan sertifikat di Layanan CA. Sebaiknya terapkan kontrol dan akses khusus ke akun peran ini untuk mencegah akses atau penggunaan yang tidak sah.

Peran Agen Layanan Layanan CA

Saat memberikan kunci penandatanganan Cloud KMS yang ada atau bucket Cloud Storage selama pembuatan CA, akun layanan Agen Layanan Layanan CA (service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com) harus diberi akses ke resource masing-masing.

Untuk Cloud KMS, roles/cloudkms.signerVerifier diperlukan untuk menggunakan kunci penandatanganan dan membaca kunci publik. roles/viewer diperlukan untuk memantau kunci untuk integrasi Cloud Monitoring.

Untuk Cloud Storage, roles/storage.objectAdmin diperlukan untuk menulis sertifikat CA dan CRL ke bucket. roles/storage.legacyBucketReader diperlukan untuk memantau bucket untuk integrasi Cloud Monitoring. Untuk informasi selengkapnya, lihat Peran IAM untuk Cloud Storage.

Saat mengakses layanan melalui API, jalankan perintah berikut.

Buat akun layanan dengan peran Agen Layanan.
gcloud
```
gcloud beta services identity create --service=privateca.googleapis.com --project=PROJECT_ID
```
Dengan keterangan:
- PROJECT_ID adalah ID unik project tempat kumpulan CA dibuat.

Berikan peran roles/cloudkms.signerVerifier dan roles/viewer ke akun layanan Anda menggunakan perintah gcloud berikut.

Jika kunci penandatanganan Cloud KMS yang ada diberikan:

gcloud

gcloud kms keys add-iam-policy-binding 'CRYPTOKEY_NAME' \
  --keyring='KEYRING_NAME' \
  --location='LOCATION' \
  --member='serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com' \
  --role='roles/cloudkms.signerVerifier'

Dengan keterangan:

'CRYPTOKEY_NAME' adalah nama kunci Anda.
'KEYRING_NAME' adalah nama key ring Anda.
'LOCATION' adalah lokasi Cloud KMS tempat Anda membuat key ring.
'PROJECT_NUMBER' adalah nama akun layanan Anda.

gcloud kms keys add-iam-policy-binding 'CRYPTOKEY_NAME' \
  --keyring='KEYRING_NAME' \
  --location='LOCATION' \
  --member='serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com' \
  --role='roles/viewer'

Berikan peran roles/storage.objectAdmin dan roles/storage.legacyBucketReader ke akun layanan Anda menggunakan perintah gcloud berikut.

Jika bucket Cloud Storage yang ada disediakan:

gcloud

gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
  --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com \
  --role=roles/storage.objectAdmin

Dengan keterangan:

BUCKET_NAME adalah nama bucket Cloud Storage Anda.
PROJECT_NUMBER adalah ID unik akun layanan Anda.

gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
  --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com \
  --role=roles/storage.legacyBucketReader

Izin API

Tabel berikut mencantumkan izin yang harus dimiliki pemanggil untuk memanggil setiap metode di CA Service API:

Izin	Deskripsi
`privateca.caPools.create`	Buat kumpulan certificate authority (CA).
`privateca.caPools.update`	Memperbarui kumpulan CA.
`privateca.caPools.list`	Mencantumkan kumpulan CA dalam project.
`privateca.caPools.get`	Mengambil kumpulan CA.
`privateca.caPools.delete`	Menghapus kumpulan CA.
`privateca.caPools.use`	Menggunakan Kumpulan CA.
`privateca.caPools.getIamPolicy`	Ambil kebijakan IAM kumpulan CA.
`privateca.caPools.setIamPolicy`	Tetapkan kebijakan IAM untuk kumpulan CA.
`privateca.certificateAuthorities.create`	Buat CA.
`privateca.certificateAuthorities.delete`	Menjadwalkan CA untuk dihapus.
`privateca.certificateAuthorities.get`	Dapatkan CA atau permintaan penandatanganan sertifikat CA.
`privateca.certificateAuthorities.list`	Mencantumkan CA dalam project.
`privateca.certificateAuthorities.update`	Memperbarui CA, termasuk mengaktifkan, mengaktifkan, menonaktifkan, dan memulihkan CA.
`privateca.certificates.create`	Meminta sertifikat dari CA Service.
`privateca.certificates.createForSelf`	Meminta sertifikat dari CA Service dengan identitas pemanggil.
`privateca.certificates.get`	Mendapatkan sertifikat dan metadatanya.
`privateca.certificates.list`	Mencantumkan semua sertifikat di CA.
`privateca.certificates.update`	Memperbarui metadata sertifikat, termasuk pencabutan.
`privateca.certificateRevocationLists.get`	Mendapatkan daftar pencabutan sertifikat (CRL) di CA.
`privateca.certificateRevocationLists.getIamPolicy`	Mendapatkan kebijakan IAM untuk CRL.
`privateca.certificateRevocationLists.list`	Mencantumkan semua CRL di CA.
`privateca.certificateRevocationLists.setIamPolicy`	Tetapkan kebijakan IAM untuk CRL.
`privateca.certificateRevocationLists.update`	Memperbarui CRL.
`privateca.certificateTemplates.create`	Buat template sertifikat.
`privateca.certificateTemplates.get`	Mengambil template sertifikat.
`privateca.certificateTemplates.list`	Mencantumkan semua template sertifikat.
`privateca.certificateTemplates.update`	Memperbarui template sertifikat.
`privateca.certificateTemplates.delete`	Menghapus template sertifikat.
`privateca.certificateTemplates.getIamPolicy`	Mendapatkan kebijakan IAM untuk template sertifikat.
`privateca.certificateTemplates.setIamPolicy`	Menetapkan kebijakan IAM untuk template sertifikat.
`privateca.certificateTemplates.use`	Gunakan template sertifikat.
`privateca.operations.cancel`	Membatalkan operasi yang berjalan lama.
`privateca.operations.delete`	Menghapus operasi yang berjalan lama.
`privateca.operations.get`	Mendapatkan operasi yang berjalan lama.
`privateca.operations.list`	Mencantumkan operasi yang berjalan lama dalam project.

Langkah selanjutnya

Pelajari cara IAM memusatkan pengelolaan izin dan cakupan akses untuk resource Google Cloud.
Pelajari cara mengonfigurasi kebijakan IAM.