Mengonfigurasi penyedia identitas pihak ketiga untuk Chronicle

Dengan penggabungan identitas tenaga kerja Google, Anda dapat memberikan akses workload lokal atau multicloud ke resource Google Cloud, tanpa harus menggunakan kunci akun layanan. Anda dapat menggunakan penggabungan identitas tenaga kerja dengan penyedia identitas (IdP) apa pun yang mendukung OpenID Connect (OIDC), termasuk Microsoft Azure, Okta, atau SAML 2.0.

Chronicle mengharuskan penggunaan federasi identitas tenaga kerja Google sebagai broker SSO default untuk hal berikut:

  • Pelanggan dengan persyaratan kepatuhan FedRAMP High (atau lebih tinggi).
  • Pelanggan yang mengakses kontrol tingkat perusahaan di Chronicle yang diaktifkan oleh Google Cloud, termasuk kontrol akses berbasis peran (RBAC) data dan fitur menggunakan Identity and Access Management (IAM).
  • Pelanggan yang menggunakan pengelolaan kredensial mandiri untuk akses terprogram ke Chronicle API.

Chronicle mendukung SSO SAML yang Dimulai Penyedia Layanan (dimulai SP) untuk pengguna. Dengan kemampuan ini, pengguna dapat langsung membuka Chronicle. Chronicle mengirimkan permintaan melalui federasi identitas kerja Google Cloud Identity and Access Management (IAM) ke penyedia identitas (IdP) pihak ketiga.

Setelah IdP mengautentikasi identitas pengguna, pengguna akan dikembalikan ke Chronicle dengan pernyataan autentikasi. Gabungan identitas tenaga kerja Google Cloud bertindak sebagai perantara dalam alur autentikasi.

Komunikasi antara Chronicle, gabungan identitas tenaga kerja
Google Cloud IAM, dan IdP

Komunikasi antara Chronicle, penggabungan identitas tenaga kerja IAM, dan IdP

Pada level tinggi, komunikasinya adalah sebagai berikut:

  1. Pengguna membuka Chronicle.
  2. Chronicle mencari informasi IdP di kumpulan identitas tenaga kerja Google Cloud.
  3. Permintaan dikirim ke IdP.
  4. Pernyataan SAML dikirim ke kumpulan identitas tenaga kerja Google Cloud.
  5. Jika autentikasi berhasil, Chronicle hanya akan menerima atribut SAML yang ditentukan saat Anda mengonfigurasi penyedia tenaga kerja di kumpulan identitas tenaga kerja.

Login yang dimulai IdP (memulai login dari dasbor IdP) tidak didukung. Hubungi perwakilan Chronicle untuk meminta fitur ini jika organisasi Anda memerlukan kemampuan tersebut.

Dokumen ini menjelaskan langkah-langkah tingkat tinggi untuk menyiapkan autentikasi melalui penyedia identitas (IdP) pihak ketiga menggunakan federasi identitas tenaga kerja Google Cloud. Setelah melakukan langkah-langkah dalam dokumen ini, Anda akan dapat mengakses Chronicle menggunakan IdP pihak ketiga dan mengelola akses ke Chronicle menggunakan SSO SAML melalui penggabungan identitas tenaga kerja.

Sebelum memulai

Langkah-langkah berikut menjelaskan cara melakukan konfigurasi menggunakan perintah gcloud. Jika suatu langkah dapat dilakukan di Konsol Google Cloud, link ke dokumentasi IAM terkait akan diberikan.

Merencanakan implementasi

Bagian berikut menjelaskan keputusan yang harus Anda buat dan informasi yang Anda tentukan sebelum melakukan langkah-langkah dalam dokumen ini.

Menentukan kumpulan identitas tenaga kerja dan penyedia tenaga kerja

Sebagai bagian dari proses ini, Anda akan mengonfigurasi federasi identitas tenaga kerja Google Cloud sebagai perantara dalam alur autentikasi. Untuk melakukannya, buat resource Google Cloud berikut:

  • Kumpulan tenaga kerja: Kumpulan identitas tenaga kerja memungkinkan Anda memberi tenaga kerja Anda (misalnya karyawan) akses ke Chronicle.
  • Penyedia tenaga kerja: Penyedia tenaga kerja adalah sub-resource dari kumpulan identitas tenaga kerja. Ringkasan ini menyimpan detail tentang satu IdP.

Hubungan antara kumpulan identitas tenaga kerja, penyedia tenaga kerja, dan instance Chronicle, yang diidentifikasi oleh subdomain pelanggan tunggal, adalah sebagai berikut:

  • Kumpulan identitas tenaga kerja ditentukan di tingkat organisasi.
  • Setiap instance Chronicle memiliki kumpulan identitas tenaga kerja yang dikonfigurasi dan terkait dengannya.
  • Kumpulan identitas tenaga kerja dapat memiliki beberapa penyedia tenaga kerja.
  • Setiap penyedia tenaga kerja mengintegrasikan IdP pihak ketiga dengan kumpulan identitas tenaga kerja.
  • Kumpulan identitas tenaga kerja yang Anda buat menggunakan langkah-langkah ini harus dikhususkan untuk Chronicle. Meskipun Anda dapat mengelola beberapa kumpulan identitas tenaga kerja untuk tujuan lain, kumpulan identitas tenaga kerja yang dibuat untuk Chronicle tidak dapat dibagikan.
  • Sebaiknya buat kumpulan identitas tenaga kerja di organisasi Google Cloud yang sama yang berisi project yang terikat dengan Chronicle.

Hal ini membantu menghemat waktu jika Anda menentukan terlebih dahulu informasi kumpulan identitas tenaga kerja dan penyedia tenaga kerja. Anda dapat menggunakan informasi ini saat mengonfigurasi aplikasi SAML IdP dan penggabungan identitas tenaga kerja.

Pilih nilai untuk ID berikut:

  • ID kumpulan tenaga kerja (WORKFORCE_POOL_ID): pilih nilai yang menunjukkan cakupan atau tujuan kumpulan identitas tenaga kerja. Nilai ini harus memenuhi persyaratan berikut:
    • Harus unik secara global.
    • Hanya boleh menggunakan karakter huruf kecil [a-z], angka [0-9], dan tanda hubung [-].
    • Harus diawali dengan karakter huruf kecil [a-z].
    • Harus diakhiri dengan karakter huruf kecil [a-z] atau angka [0-9].
    • Panjangnya dapat antara 4 hingga 61 karakter.
  • Nama tampilan kumpulan tenaga kerja (WORKFORCE_POOL_DISPLAY_NAME): menentukan nama yang mudah digunakan. untuk kumpulan identitas tenaga kerja.
  • Deskripsi kumpulan tenaga kerja (WORKFORCE_POOL_DESCRIPTION): menentukan deskripsi mendetail tentang kumpulan identitas tenaga kerja.
  • ID penyedia tenaga kerja (WORKFORCE_PROVIDER_ID): memilih nilai yang menunjukkan IdP yang diwakilinya. Nilai ini harus memenuhi persyaratan berikut:
    • Hanya boleh menggunakan karakter huruf kecil [a-z], angka [0-9], dan tanda hubung [-].
    • Panjangnya dapat antara 4 hingga 32 karakter.
  • Nama tampilan penyedia tenaga kerja (WORKFORCE_PROVIDER_DISPLAY_NAME): menentukan nama yang mudah digunakan untuk penyedia tenaga kerja. Panjangnya harus kurang dari 32 karakter.
  • Deskripsi penyedia tenaga kerja (WORKFORCE_PROVIDER_DESCRIPTION): menentukan deskripsi mendetail tentang penyedia tenaga kerja.

Menentukan atribut pengguna dan grup di IdP

Sebelum membuat aplikasi SAML di IdP, identifikasi atribut dan grup pengguna mana yang diperlukan untuk mengonfigurasi akses ke fitur di Chronicle. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi kontrol akses fitur menggunakan IAM dan izin Chronicle di IAM.

Anda memerlukan informasi tersebut selama fase-fase proses berikut ini:

  • Saat mengonfigurasi aplikasi SAML, Anda membuat grup yang ditentukan selama perencanaan. Anda mengonfigurasi aplikasi SAML IdP untuk meneruskan keanggotaan grup di pernyataan.

  • Saat membuat penyedia tenaga kerja, Anda memetakan atribut dan grup pernyataan ke atribut Google Cloud. Informasi ini dikirim dalam klaim pernyataan sebagai bagian dari identitas pengguna.

  • Saat menyiapkan kontrol akses berbasis peran di Chronicle, Anda harus menggunakan atribut pengguna dan informasi grup untuk mengonfigurasi akses ke fitur Chronicle.

    Chronicle menyediakan beberapa peran bawaan yang masing-masing memungkinkan akses ke fitur tertentu. Anda dapat memetakan grup yang ditentukan dalam aplikasi SAML IdP ke peran yang telah ditetapkan ini.

Mengonfigurasi IdP

Bagian ini hanya menjelaskan konfigurasi tertentu yang diperlukan dalam aplikasi SAML IdP untuk mengintegrasikan dengan federasi identitas tenaga kerja Google Cloud dan Chronicle.

  1. Buat aplikasi SAML baru di IdP Anda.

  2. Konfigurasi aplikasi dengan URL Assertion Consumer Service (ACS) berikut, yang juga disebut sebagai URL single sign-on, bergantung pada penyedia layanan.

    https://auth.backstory.chronicle.security/signin-callback/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
    

    Ganti kode berikut:

    • WORKFORCE_POOL_ID: ID yang Anda tentukan untuk kumpulan identitas tenaga kerja.
    • WORKFORCE_PROVIDER_ID: ID yang Anda tetapkan untuk penyedia tenaga kerja.

      Lihat Merencanakan penerapan untuk mengetahui deskripsi nilai ini.

  3. Mengonfigurasi aplikasi dengan ID Entity berikut (disebut juga, SP Entity ID).

    https://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
    

    Ganti kode berikut:

    • WORKFORCE_POOL_ID: ID yang Anda tentukan untuk kumpulan identitas tenaga kerja.
    • WORKFORCE_PROVIDER_ID: ID yang Anda tetapkan untuk penyedia tenaga kerja.
  4. Konfigurasikan ID nama di IdP Anda untuk memastikan bahwa kolom NameID ditampilkan di respons SAML.

    Anda dapat menetapkannya ke nilai yang mendukung kebijakan organisasi, seperti alamat email atau nama pengguna. Lihat dokumentasi IdP Anda untuk mengetahui informasi tentang cara mengonfigurasi nilai ini. Untuk mengetahui informasi selengkapnya tentang persyaratan ini, lihat Memecahkan masalah penggabungan identitas tenaga kerja.

  5. Jika ingin, buat atribut grup di aplikasi SAML. Anda menentukannya saat merencanakan penerapan IdP.

  6. Download file XML metadata aplikasi. Di bagian berikutnya, Anda akan mengupload file ini dari sistem lokal ke direktori beranda Google Cloud menggunakan Cloud Shell.

Mengonfigurasi workforce identity federation

Bagian ini hanya menjelaskan langkah-langkah tertentu yang diperlukan untuk mengonfigurasi penggabungan identitas tenaga kerja dengan aplikasi SAML IdP yang Anda buat di bagian sebelumnya. Untuk mengetahui informasi selengkapnya tentang mengelola kumpulan identitas tenaga kerja, lihat Mengelola penyedia kumpulan identitas tenaga kerja

  1. Buka konsol Google Cloud sebagai pengguna dengan izin yang diperlukan pada project yang terikat oleh Chronicle. Anda telah mengidentifikasi atau membuat pengguna ini sebelumnya. Lihat bagian Sebelum memulai.

  2. Luncurkan sesi Cloud Shell.

  3. Menetapkan project Google Cloud yang ditagih dan dikenai biaya untuk operasi yang dilakukan menggunakan gcloud CLI. Gunakan perintah gcloud berikut sebagai contoh:

    gcloud config set billing/quota_project PROJECT_ID
    

    Ganti PROJECT_ID dengan project ID dari project terikat Chronicle yang Anda buat di Mengonfigurasi project Google Cloud untuk Chronicle. Baca artikel Membuat dan mengelola project untuk mengetahui deskripsi kolom yang mengidentifikasi project.

    Untuk mengetahui informasi tentang kuota, lihat dokumen berikut:

    Jika Anda mengalami error, lihat Error kuota

Membuat dan mengonfigurasi kumpulan identitas tenaga kerja

Anda dapat mengonfigurasi kumpulan identitas tenaga kerja untuk diintegrasikan dengan penyedia identitas (IdP) eksternal atau dengan Google Workspace atau Cloud Identity.

  1. Buat kumpulan identitas tenaga kerja.

    • Membuat kumpulan identitas tenaga kerja untuk IdP pihak ketiga:

      Gunakan perintah gcloud berikut sebagai contoh:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
            --location="global" \
            --organization="ORGANIZATION_ID" \
            --description="WORKFORCE_POOL_DESCRIPTION" \
            --display-name="WORKFORCE_POOL_DISPLAY_NAME"
      

      Ganti kode berikut:

      • WORKFORCE_POOL_ID: ID yang Anda tentukan untuk kumpulan identitas tenaga kerja.
      • ORGANIZATION_ID: ID organisasi numerik.
      • WORKFORCE_POOL_DESCRIPTION: menentukan deskripsi kumpulan identitas tenaga kerja.
      • WORKFORCE_POOL_DISPLAY_NAME: menentukan nama yang mudah digunakan untuk kumpulan identitas tenaga kerja.
    • Buat kumpulan identitas tenaga kerja untuk Google Workspace atau Cloud Identity:

      Jika Anda menggunakan Google Workspace atau Cloud Identity sebagai IdP, tambahkan flag --allowed-services domain=backstory.chronicle.security ke perintah:

      gcloud iam workforce-pools create WORKFORCE_POOL_ID\
            --location="global" \
            --organization="ORGANIZATION_ID" \
            --description="WORKFORCE_POOL_DESCRIPTION" \
            --display-name="WORKFORCE_POOL_DISPLAY_NAME" \
            --allowed-services domain=backstory.chronicle.security
      

    Untuk menjalankan konfigurasi ini menggunakan Konsol Google Cloud, lihat Membuat kumpulan.

  2. Jika diminta pada command line untuk mengaktifkan Chronicle API, ketik Yes.

Membuat penyedia identitas tenaga kerja

  1. Upload file metadata aplikasi SAML ke direktori beranda Cloud Shell dengan mengklik More >. File hanya dapat diupload ke direktori utama Anda. Untuk mengetahui opsi selengkapnya untuk mentransfer file antara Cloud Shell dan workstation lokal, baca Mengupload serta mendownload file dan folder dari Cloud Shell.

  2. Catat jalur direktori tempat Anda mengupload file XML metadata aplikasi SAML di Cloud Shell. Anda akan memerlukan jalur ini di langkah berikutnya.

  3. Membuat penyedia kumpulan identitas tenaga kerja dan menentukan detail IdP.

    Gunakan perintah gcloud berikut sebagai contoh:

    gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
          --workforce-pool="WORKFORCE_POOL_ID" \
          --location="global" \
          --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
          --description="WORKFORCE_PROVIDER_DESCRIPTION" \
          --idp-metadata-path=PATH_TO_METADATA_XML \
          --attribute-mapping="ATTRIBUTE_MAPPINGS"
    

    Lihat Merencanakan penerapan untuk informasi selengkapnya tentang nilai ini.

    Ganti kode berikut:

    • WORKFORCE_PROVIDER_ID: nilai yang Anda tetapkan untuk ID penyedia tenaga kerja.
    • WORKFORCE_POOL_ID: nilai yang Anda tentukan untuk ID kumpulan identitas tenaga kerja.
    • WORKFORCE_PROVIDER_DISPLAY_NAME: nama yang mudah digunakan untuk penyedia tenaga kerja. Panjangnya harus kurang dari 32 karakter.
    • WORKFORCE_PROVIDER_DESCRIPTION: deskripsi penyedia tenaga kerja.
    • PATH_TO_METADATA_XML: lokasi direktori Cloud Shell dari file XML metadata aplikasi yang Anda upload menggunakan Cloud Shell, misalnya: /path/to/sso_metadata.xml.
    • ATTRIBUTE_MAPPINGS: definisi cara memetakan atribut pernyataan ke atribut Google Cloud. Common Expression Language digunakan untuk menafsirkan pemetaan ini. Contoh:

      google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.groups

      Contoh sebelumnya memetakan atribut berikut:

      • assertion.subject ke google.subject. Ini adalah persyaratan minimum.
      • assertion.attributes.name[0] ke google.display_name.
      • assertion.attributes.groups ke atribut google.groups.

      Jika Anda menjalankan konfigurasi ini untuk Chronicle Security Operations, yang mencakup Chronicle SIEM dan Chronicle SOAR, Anda juga harus memetakan atribut berikut yang diperlukan oleh Chronicle SOAR:

      • attribute.first_name
      • attribute.last_name
      • attribute.user_email
      • google.groups

      Lihat informasi selengkapnya tentang penyediaan dan pemetaan pengguna untuk Chronicle SOAR.

      Secara default, Chronicle membaca informasi grup dari nama atribut pernyataan yang tidak peka huruf besar/kecil berikut: _assertion.attributes.groups_, _assertion.attributes.idpGroup_, dan _assertion.attributes.memberOf_.

      Saat mengonfigurasi aplikasi SAML untuk meneruskan informasi keanggotaan grup di pernyataan, tetapkan nama atribut grup ke _group_, _idpGroup_, atau _memberOf_.

      Dalam contoh perintah ini, Anda dapat mengganti assertion.attributes.groups dengan assertion.attributes.idpGroup atau assertion.attributes.memberOf, yang mewakili nama atribut grup yang Anda konfigurasi di aplikasi SAML IdP dan yang berisi informasi keanggotaan grup dalam pernyataan.

      Contoh berikut memetakan beberapa grup ke atribut google.groups:

      google.groups="(has(assertion.attributes.idpGroup) ? assertion.attributes.idpGroup : []) + (has(assertion.attributes.groups) ? assertion.attributes.groups : []) + (has(assertion.attributes.memberof) ? assertion.attributes.memberof : [])"

      Contoh berikut memetakan grup http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group yang berisi karakter khusus ke google.groups:

      google.groups="assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/group']"

      Untuk mengetahui informasi selengkapnya tentang pemetaan atribut, lihat Pemetaan Atribut.

      Untuk menjalankan konfigurasi ini menggunakan Konsol Google Cloud, lihat Membuat penyedia SAML.

Berikan peran untuk mengaktifkan login ke Chronicle

Langkah-langkah berikut menjelaskan cara memberikan peran tertentu menggunakan IAM sehingga pengguna dapat login ke Chronicle. Lakukan konfigurasi menggunakan project Google Cloud yang terikat Chronicle yang Anda buat sebelumnya.

Contoh ini menggunakan perintah gcloud. Untuk menggunakan konsol Google Cloud, lihat Memberikan satu peran.

  1. Berikan peran Chronicle API Viewer (roles/chronicle.viewer) kepada pengguna atau grup yang seharusnya memiliki akses ke aplikasi Chronicle.

    Contoh berikut memberikan peran Chronicle API Viewer ke identitas yang dikelola menggunakan kumpulan identitas tenaga kerja dan penyedia tenaga kerja yang Anda buat sebelumnya.

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*"
    

    Ganti kode berikut:

    Untuk memberikan peran Chronicle API Viewer ke grup tertentu, jalankan perintah berikut:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --role roles/chronicle.viewer \
      --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
    

    Ganti GROUP_ID: grup dalam klaim google.groups yang dipetakan.

  2. Konfigurasi kebijakan IAM tambahan untuk memenuhi persyaratan organisasi Anda.

Verifikasi atau konfigurasi kontrol akses fitur Chronicle

Jika Anda mengonfigurasi penggabungan identitas tenaga kerja dengan atribut atau grup yang dipetakan ke atribut google.groups, informasi ini akan diteruskan ke Chronicle sehingga Anda dapat mengonfigurasi kontrol akses berbasis peran (RBAC) ke fitur Chronicle.

Jika instance Chronicle sudah memiliki konfigurasi RBAC, pastikan konfigurasi asli berfungsi seperti yang diharapkan.

Jika Anda belum mengonfigurasi Chronicle RBAC, lihat Mengonfigurasi kontrol akses fitur menggunakan IAM untuk mengetahui informasi tentang cara mengontrol akses ke fitur.

Mengubah konfigurasi penggabungan identitas tenaga kerja

Jika Anda perlu memperbarui kumpulan identitas tenaga kerja atau penyedia tenaga kerja, lihat Mengelola penyedia kumpulan identitas tenaga kerja untuk mengetahui informasi tentang cara memperbarui konfigurasi.

Bagian Pengelolaan kunci di Membuat penyedia kumpulan tenaga kerja SAML menjelaskan cara memperbarui kunci penandatanganan IdP, lalu memperbarui konfigurasi penyedia tenaga kerja dengan file XML metadata aplikasi terbaru.

Berikut adalah contoh perintah gcloud yang memperbarui konfigurasi penyedia tenaga kerja:

gcloud iam workforce-pools providers update-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location="global" \
    --display-name="WORKFORCE_PROVIDER_DISPLAY_NAME" \
    --description="WORKFORCE_PROVIDER_DESCRIPTION" \
    --idp-metadata-path=PATH_TO_METADATA_XML \
    --attribute-mapping="ATTRIBUTE_MAPPINGS"

Ganti kode berikut:

  • WORKFORCE_PROVIDER_ID: nilai yang Anda tetapkan untuk ID penyedia tenaga kerja.
  • WORKFORCE_POOL_ID: nilai yang Anda tentukan untuk ID kumpulan identitas tenaga kerja.
  • WORKFORCE_PROVIDER_DISPLAY_NAME: nama yang mudah digunakan untuk penyedia tenaga kerja. Nilai harus kurang dari 32 karakter.
  • WORKFORCE_PROVIDER_DESCRIPTION: deskripsi penyedia tenaga kerja.
  • PATH_TO_METADATA_XML: lokasi file XML metadata aplikasi yang diupdate, misalnya: /path/to/sso_metadata_updated.xml.
  • ATTRIBUTE_MAPPINGS: atribut pernyataan yang dipetakan ke atribut Google Cloud. Contoh:

    google.subject=assertion.subject,google.display_name=assertion.attributes.name[0],google.groups=assertion.attributes.memberOf

Untuk memastikan bahwa Chronicle RBAC terus berfungsi seperti yang diharapkan, petakan juga atribut google.groups ke semua grup yang digunakan untuk menentukan peran di Chronicle.

Memecahkan masalah konfigurasi

Jika Anda mengalami error selama proses ini, tinjau Memecahkan masalah penggabungan identitas tenaga kerja untuk menyelesaikan masalah umum. Bagian berikut memberikan informasi tentang masalah umum yang dialami saat melakukan langkah-langkah dalam dokumen ini.

Jika masih mengalami masalah, hubungi perwakilan Chronicle dan berikan File Log Jaringan Chrome Anda.

command not found error saat membuat penyedia kumpulan identitas tenaga kerja

Saat membuat penyedia kumpulan identitas tenaga kerja dan menentukan detail IdP, Anda akan mendapatkan error berikut:

Error: bash: --attribute-mapping=google.subject=assertion.subject,
google.display_name=assertion.attributes.name[0],
google.groups=assertion.attributes.groups: command not found

Pastikan PATH_TO_METADATA_XML adalah lokasi tempat Anda mengupload file XML metadata aplikasi SAML ke direktori beranda Cloud Shell Anda.

The caller does not have permission error

Saat menjalankan perintah gcloud projects add-iam-policy-binding untuk memberikan peran kepada pengguna atau grup, Anda akan mendapatkan error berikut:

ERROR: (gcloud.organizations.add-iam-policy-binding) User [ ] does not have
permission to access organizations instance [538073083963:getIamPolicy]
(or it may not exist): The caller does not have permission

Pastikan Anda memiliki izin yang diperlukan. Lihat Peran yang diperlukan untuk informasi selengkapnya.

Langkah selanjutnya

Setelah menyelesaikan langkah-langkah dalam dokumen ini, lakukan hal berikut: