Membuat peran khusus

Halaman ini menjelaskan cara membuat dan mengelola peran kustom di Google Distributed Cloud (GDC) yang terisolasi. Peran khusus memungkinkan Anda mengelola akses di luar kumpulan izin standar yang tersedia dalam peran bawaan, sehingga Anda dapat mengonfigurasi izin untuk memenuhi kriteria spesifik Anda.

Peran kustom mengikuti prinsip hak istimewa terendah dan berguna untuk memberikan akses paling sedikit yang diperlukan untuk tugas sensitif, mengurangi risiko keamanan, dan mencegah konflik kepentingan.

Dengan membuat peran khusus, Anda dapat:

  • Tentukan cakupan akses: Pilih untuk menerapkan izin di seluruh organisasi, di semua project, atau batasi izin ke project tertentu.
  • Menyesuaikan akses terperinci: Pilih satu atau beberapa izin yang sudah tersedia melalui peran standar untuk menyesuaikan akses ke tugas atau tanggung jawab tertentu.

Lihat Deskripsi peran bawaan dan Definisi peran untuk mengetahui informasi selengkapnya.

Sebelum memulai

Akses peran khusus dikelola di tingkat organisasi dan project. Akses peran khusus hanya dapat diberikan dalam organisasi atau project yang sama tempat peran tersebut dibuat.

Untuk memiliki izin yang diperlukan untuk membuat dan mengelola peran khusus, minta administrator Anda untuk memberi Anda salah satu peran berikut:

  • Admin Org Peran Kustom

    Membuat dan mengelola peran khusus dalam organisasi atau project. Peran ini mencakup kemampuan untuk memperbarui, mencantumkan, melihat, menonaktifkan, dan menghapus peran kustom.

    Pengguna Admin IAM Organisasi dapat memberikan peran ini.

  • Admin Project Peran Kustom

    Membuat dan mengelola peran khusus dalam project. Peran ini mencakup kemampuan untuk memperbarui, mencantumkan, melihat, menonaktifkan, dan menghapus peran kustom.

    Pengguna Admin IAM Project dapat memberikan peran ini.

Pelajari lebih lanjut cara menetapkan izin peran untuk organisasi dan project.

Membuat peran khusus

Peran khusus adalah sekelompok izin yang dapat Anda tetapkan kepada pengguna. Anda dapat membuat peran khusus baru dengan mengelompokkan izin dari peran bawaan. Peran khusus mewarisi kemampuan multi-zona IAM dari peran bawaan yang menjadi dasarnya.

Buat peran kustom menggunakan konsol GDC atau gdcloud CLI:

Konsol

  1. Login ke konsol GDC.
  2. Di pemilih project, pilih organisasi atau project tempat Anda ingin membuat peran khusus.
  3. Di menu navigasi, klik Identity & Access > Roles.
  4. Klik Buat Peran Kustom.
  5. Di kolom Judul, masukkan judul peran kustom Anda.
  6. Di kolom Deskripsi, berikan deskripsi tujuan peran kustom Anda.

  7. Di kolom ID, masukkan ID unik untuk peran kustom Anda.

    ID peran kustom dapat berisi hingga 10 karakter alfanumerik huruf kecil dan tidak dapat diubah setelah pembuatan peran.

  8. Pilih Tahap peluncuran.

  9. Pilih cakupan peran kustom Anda.

    Jika Anda memilih Organisasi, peran kustom akan diterapkan ke semua resource di seluruh organisasi. Jika Anda memilih Project, peran khusus akan berlaku untuk semua project saat ini dan mendatang dalam organisasi. Anda dapat memilih Batasi ke project yang dipilih jika ingin menentukan project mana yang dapat mengakses peran khusus.

  10. Klik Add Permissions.

  11. Centang kotak di samping satu atau beberapa izin yang didukung yang ingin Anda tetapkan ke peran kustom.

    Izin yang tersedia terbatas pada cakupan yang Anda pilih. Jika Anda mengubah cakupan setelah menambahkan izin, Anda harus mengonfirmasi bahwa semua izin yang diberikan sebelumnya akan direset.

  12. Klik Simpan.

  13. Klik Buat.

    Peran kustom baru Anda akan muncul di halaman Peran.

gdcloud

  1. Pastikan Anda telah menginstal gdcloud CLI. Untuk mengetahui informasi selengkapnya, lihat halaman Ringkasan gdcloud CLI.

  2. Membuat peran khusus:

    gdcloud iam roles create ROLE_ID \
  --title=TITLE \
  --description=DESCRIPTION \
  --permissions=PERMISSIONS

    Ganti elemen wajib berikut:

    • ROLE_ID: ID unik untuk peran kustom Anda. ID peran kustom dapat terdiri dari hingga 10 karakter alfanumerik huruf kecil, dan dapat berisi tanda hubung dan titik. ID peran kustom tidak dapat diubah setelah pembuatan peran.
    • TITLE: Judul yang mudah digunakan untuk peran kustom.
    • DESCRIPTION: Deskripsi tujuan peran kustom.
    • PERMISSIONS: Daftar izin yang didukung yang diberikan untuk peran kustom.

    Atau, Anda dapat menentukan peran khusus dalam file YAML dan menggunakan flag --file:

    gdcloud iam roles create ROLE_ID --file=YAML_FILE_PATH

    Ganti YAML_FILE_PATH dengan jalur ke file YAML yang berisi flag wajib dan opsional. Jika Anda menggunakan flag --file, semua flag lainnya seperti --title, --description, dan --permissions akan diabaikan.

    Lihat gdcloud iam roles create untuk mengetahui daftar lengkap flag wajib dan opsional, serta contoh penggunaannya.

Mengelola peran khusus

Anda bertanggung jawab untuk mengelola siklus proses peran kustom Anda. Saat Distributed Cloud menambahkan izin, fitur, atau layanan baru, Distributed Cloud akan memperbarui peran yang telah ditetapkan. Pembaruan seperti menghapus peran standar atau menghapus izin dari peran standar dapat membuat peran khusus yang mengandalkan izin tersebut tidak berfungsi. Anda harus memantau pembaruan ini dan menyesuaikan peran kustom yang terpengaruh secara manual untuk memastikan peran tersebut terus berfungsi seperti yang diharapkan.

Anda dapat mengedit, menonaktifkan, atau menghapus peran khusus; namun, Anda tidak dapat mengedit, menonaktifkan, atau menghapus peran standar.

Melihat daftar peran

Lihat daftar peran bawaan dan kustom yang tersedia menggunakan konsol GDC atau gdcloud CLI:

Konsol

  1. Login ke konsol GDC.
  2. Di pemilih project, pilih organisasi atau project tempat Anda ingin melihat peran.

  3. Di menu navigasi, klik Identity & Access > Roles.

    Daftar peran bawaan dan kustom yang tersedia akan muncul.

gdcloud

  1. Pastikan Anda telah menginstal gdcloud CLI. Untuk mengetahui informasi selengkapnya, lihat halaman Ringkasan gdcloud CLI.

  2. Mencantumkan peran:

    gdcloud iam roles list ROLE_TYPE \
  --project=PROJECT

    Ganti elemen berikut:

    • ROLE_TYPE: predefined, custom, atau all.
    • PROJECT: Namespace project tempat Anda ingin melihat peran. Jika tanda --project tidak ditentukan, peran dengan cakupan organisasi akan dicantumkan.

    Lihat gdcloud iam roles list untuk mengetahui informasi selengkapnya dan contoh penggunaannya.

Mengedit peran khusus

Edit peran kustom menggunakan konsol GDC atau gdcloud CLI:

Konsol

  1. Login ke konsol GDC.
  2. Di pemilih project, pilih organisasi atau project tempat Anda ingin mengedit peran kustom.
  3. Di menu navigasi, klik Identity & Access > Roles.
  4. Dari daftar peran, pilih peran kustom yang ingin Anda edit.
  5. Dari halaman detail peran kustom, klik Edit.
  6. Edit detail peran kustom Anda seperti judul, deskripsi, ID, atau tahap peluncuran.
  7. Secara opsional, tambahkan atau hapus izin yang ditetapkan.
    1. Klik Tambahkan izin untuk memilih dari daftar izin yang tersedia.
    2. Untuk menghapus izin yang ditetapkan, centang kotak di samping izin yang ingin Anda hapus, lalu klik Hapus.

  8. Klik Simpan.

    Pesan akan muncul untuk mengonfirmasi perubahan yang Anda simpan.

gdcloud

  1. Pastikan Anda telah menginstal gdcloud CLI. Untuk mengetahui informasi selengkapnya, lihat halaman Ringkasan gdcloud CLI.

  2. Mengedit peran khusus:

    gdcloud iam roles update ROLE_ID \
  --title=TITLE \
  --description=DESCRIPTION \
  --permissions=PERMISSIONS

    Ganti elemen wajib berikut:

    • ROLE_ID: ID unik untuk peran kustom Anda.
    • TITLE: Judul yang mudah digunakan untuk peran kustom.
    • DESCRIPTION: Deskripsi tujuan peran kustom.
    • PERMISSIONS: Daftar izin yang didukung yang diberikan untuk peran kustom.

    Atau, Anda dapat memperbarui peran khusus dalam file YAML-nya dan menggunakan flag --file:

    gdcloud iam roles update ROLE_ID --file=YAML_FILE_PATH

    Ganti YAML_FILE_PATH dengan jalur ke file YAML yang berisi flag wajib dan opsional yang diperbarui. Jika Anda menggunakan flag --file, semua flag lainnya seperti --title, --description, dan --permissions akan diabaikan.

    Lihat gdcloud iam roles update untuk mengetahui daftar lengkap flag wajib dan opsional, serta contoh penggunaan.

Menonaktifkan peran khusus

Peran khusus yang dinonaktifkan tetap ada dalam daftar peran Anda dan masih dapat ditetapkan kepada pengguna; namun, peran tersebut tidak akan berpengaruh. Anda dapat mengaktifkan kembali peran kustom kapan saja.

Nonaktifkan peran kustom menggunakan konsol GDC atau gdcloud CLI:

Konsol

  1. Login ke konsol GDC.
  2. Di pemilih project, pilih organisasi atau project tempat Anda ingin menonaktifkan peran khusus.
  3. Di menu navigasi, klik Identity & Access > Roles.
  4. Dalam daftar peran, pilih peran khusus yang ingin Anda nonaktifkan.
  5. Di halaman detail peran khusus, klik Nonaktifkan.

gdcloud

  1. Pastikan Anda telah menginstal gdcloud CLI. Untuk mengetahui informasi selengkapnya, lihat halaman Ringkasan gdcloud CLI.

  2. Menonaktifkan peran khusus:

    gdcloud iam roles update ROLE_ID --stage=DISABLED

    Ganti elemen wajib berikut:

    • ROLE_ID: ID unik untuk peran kustom Anda.

    Lihat gdcloud iam roles update untuk mengetahui informasi selengkapnya.

Menghapus peran khusus

Penghapusan peran khusus hanya didukung menggunakan gdcloud CLI. Peran yang dihapus akan dihapus secara permanen dari sistem; namun, Anda dapat membuat peran baru dengan nama yang sama.

Menghapus peran khusus menggunakan gdcloud CLI:

  1. Pastikan Anda telah menginstal gdcloud CLI. Untuk mengetahui informasi selengkapnya, lihat halaman Ringkasan gdcloud CLI.

  2. Menghapus peran khusus:

    gdcloud iam roles delete ROLE_ID --project=PROJECT

    Ganti kode berikut:

    • ROLE_ID: ID unik untuk peran kustom Anda.
    • PROJECT: Namespace project tempat Anda ingin menghapus peran kustom. Jika tanda --project tidak ditentukan, peran cakupan organisasi akan dihapus.

    Lihat gdcloud iam roles delete untuk mengetahui informasi selengkapnya dan contoh penggunaannya.