Halaman ini menjelaskan cara mengontrol akses ke set data dan penyimpanan data Cloud Healthcare API menggunakan izin Identity and Access Management (IAM). Dengan IAM, Anda dapat mengontrol siapa saja yang memiliki akses ke set data dan penyimpanan data Anda. Guna mempelajari lebih lanjut IAM untuk Cloud Healthcare API, lihat Kontrol akses.
Ringkasan kebijakan IAM
Akses ke resource dikelola melalui kebijakan IAM. Kebijakan
berisi array, yang disebut bindings
. Array ini berisi kumpulan
binding, yang merupakan asosiasi antar-akun utama, seperti akun
pengguna atau akun layanan, dan peran. Kebijakan direpresentasikan
menggunakan JSON atau YAML.
Kebijakan contoh berikut menunjukkan user-1@example.com
yang telah
diberi peran roles/healthcare.datasetAdmin
serta user-2@example.com
dan
service-account-13@appspot.gserviceaccount.com
telah diberi
peran roles/healthcare.datasetViewer
:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Untuk memperbarui kebijakan resource, gunakan pola read-modify-write. Tidak ada metode terpisah untuk membuat, mengubah, dan mencabut akses pengguna.
Untuk memperbarui kebijakan, selesaikan langkah-langkah berikut:
- Baca kebijakan saat ini dengan memanggil metode
getIamPolicy()
resource. Misalnya, untuk membaca kebijakan set data saat ini, panggilprojects.locations.datasets.getIamPolicy
. - Edit kebijakan yang ditampilkan, baik menggunakan editor teks maupun secara terprogram, untuk menambahkan atau menghapus akun utama yang berlaku dan pemberian perannya.
- Tulis kebijakan yang telah diperbarui dengan memanggil metode
setIamPolicy()
resource. Misalnya, untuk menulis kebijakan set data yang telah diperbarui, panggilprojects.locations.datasets.setIamPolicy
.
Menggunakan IAM dengan penyimpanan izin
Bagian berikut menunjukkan cara mendapatkan, mengubah, dan menetapkan kebijakan untuk penyimpanan izin. Bagian ini menggunakan contoh kebijakan berikut sebagai titik awal:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Mendapatkan kebijakan
Contoh berikut menunjukkan cara membaca kebijakan IAM tingkat penyimpanan izin. Untuk informasi selengkapnya, lihat
projects.locations.datasets.consentStores.getIamPolicy
.
Konsol
Untuk melihat kebijakan IAM untuk penyimpanan izin:
- Di konsol Google Cloud, buka halaman Datasets.
- Klik ID set data yang berisi penyimpanan izin, lalu pilih penyimpanan izin yang ingin Anda dapatkan kebijakannya.
- Klik Tampilkan panel info.
- Untuk melihat akun utama yang ditetapkan ke suatu peran, luaskan peran.
gcloud
Untuk melihat kebijakan IAM untuk penyimpanan izin, jalankan perintah gcloud healthcare consent-stores get-iam-policy
. Tentukan nama penyimpanan izin, nama set data, dan lokasi.
gcloud healthcare consent-stores get-iam-policy CONSENT_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Jika permintaan berhasil, binding akan ditampilkan.
bindings: - members: - user:user-1@example.com role: roles/healthcare.consentStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.consentReader etag: bytes version: VERSION_NUMBER
Node.js
Python
curl
Agar dapat membaca kebijakan IAM untuk penyimpanan izin, buat permintaan GET
dan tentukan nama set data, nama penyimpanan izin, dan token akses.
Contoh berikut menunjukkan permintaan GET
yang menggunakan curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:getIamPolicy"
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Agar dapat membaca kebijakan IAM untuk penyimpanan izin, buat permintaan GET
dan tentukan nama set data, nama penyimpanan izin, dan token akses.
Contoh berikut menunjukkan permintaan GET
menggunakan Windows PowerShell:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:getIamPolicy" | Select-Object -Expand Content
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Mengubah kebijakan
Contoh berikut memberikan peran roles/healthcare.consentReader
kepada pengguna baru. Untuk informasi selengkapnya, lihat projects.locations.datasets.consentStores.setIamPolicy
.
Menetapkan kebijakan
Konsol
Untuk menetapkan kebijakan IAM tingkat penyimpanan izin, lakukan langkah-langkah berikut:
- Di konsol Google Cloud, buka halaman Datasets.
- Klik ID set data yang berisi penyimpanan izin, lalu pilih penyimpanan izin yang ingin Anda tetapkan kebijakannya.
- Klik Tampilkan panel info.
- Klik Tambahkan akun utama.
- Di kolom Akun utama baru, masukkan satu atau beberapa identitas yang memerlukan akses ke penyimpanan izin.
- Dalam daftar Select a role, di bagian Cloud Healthcare, pilih izin yang ingin Anda berikan. Misalnya, Healthcare Consent Store Viewer.
- Klik Save.
gcloud
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat emailnya ke array members
dalam binding roles/healthcare.consentReader
:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, jalankan perintah set-iam-policy
yang sesuai untuk melakukan perubahan. Untuk menetapkan kebijakan tingkat penyimpanan izin, jalankan perintah gcloud healthcare consent-stores set-iam-policy
. Tentukan nama penyimpanan izin, nama set data, lokasi, dan jalur ke file kebijakan yang Anda buat.
gcloud healthcare consent-stores set-iam-policy CONSENT_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Jika permintaan berhasil, nama penyimpanan izin dan binding akan ditampilkan.
Updated IAM policy for consentStore [CONSENT_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.consentStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.consentReader etag: bytes version: VERSION_NUMBER
Node.js
Python
curl
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat emailnya ke array members
dalam binding roles/healthcare.consentReader
:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, panggil
projects.locations.datasets.consentStores.setIamPolicy
untuk melakukan perubahan.
Untuk menetapkan kebijakan IAM tingkat penyimpanan izin, buat permintaan POST
dan tentukan nama set data, nama penyimpanan izin, kebijakan, dan token akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan curl
untuk memberikan peran roles/healthcare.consentReader
yang sudah ada
kepada pengguna baru:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.consentStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.consentReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:setIamPolicy"
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat emailnya ke array members
dalam binding roles/healthcare.consentReader
:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, panggil
projects.locations.datasets.consentStores.setIamPolicy
untuk melakukan perubahan.
Untuk menetapkan kebijakan IAM tingkat penyimpanan izin, buat permintaan POST
dan tentukan nama set data, nama penyimpanan izin, kebijakan, dan token akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan Windows PowerShell untuk memberikan
peran roles/healthcare.consentReader
yang sudah ada kepada pengguna baru:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.consentStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.consentReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:setIamPolicy" | Select-Object -Expand Content
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Menggunakan IAM dengan set data
Bagian berikut menunjukkan cara mendapatkan, mengubah, dan menetapkan kebijakan untuk set data. Bagian ini menggunakan contoh kebijakan berikut sebagai titik awal:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Mendapatkan kebijakan
Contoh berikut menunjukkan cara membaca kebijakan IAM tingkat set data. Untuk informasi selengkapnya, lihat
projects.locations.datasets.getIamPolicy
.
curl
Agar dapat membaca kebijakan IAM untuk set data, buat permintaan GET
dan
tentukan nama set data dan token akses.
Contoh berikut menunjukkan permintaan GET
yang menggunakan curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:getIamPolicy"
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Agar dapat melihat kebijakan IAM untuk set data, buat permintaan GET
dan tentukan nama set data serta token akses.
Contoh berikut menunjukkan permintaan GET
menggunakan Windows PowerShell:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:getIamPolicy" | Select-Object -Expand Content
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Konsol
Untuk melihat kebijakan IAM untuk set data:- Di konsol Google Cloud, buka halaman Datasets.
- Pilih set data, lalu klik Tampilkan panel info.
- Untuk melihat akun utama yang ditetapkan ke suatu peran, luaskan peran.
gcloud
Untuk melihat kebijakan IAM untuk set data, jalankan perintah gcloud healthcare datasets get-iam-policy
. Tentukan nama set data dan lokasi.
gcloud healthcare datasets get-iam-policy DATASET_ID \ --location=LOCATION
Jika permintaan berhasil, binding akan ditampilkan.
bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.datasetViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
Mengubah kebijakan
Contoh berikut memberikan peran roles/healthcare.datasetViewer
kepada pengguna baru:
Menetapkan kebijakan
Konsol
Untuk menetapkan kebijakan IAM tingkat set data, lakukan langkah-langkah berikut:
- Di konsol Google Cloud, buka halaman Datasets.
- Pilih set data yang ingin Anda tetapkan kebijakannya, lalu klik Show info panel.
- Klik Tambahkan akun utama.
- Di kolom New principals, masukkan satu atau beberapa identitas yang memerlukan akses ke set data.
- Dalam daftar Select a role, di bagian Cloud Healthcare, pilih izin yang ingin Anda berikan. Misalnya, Healthcare Dataset Viewer.
- Klik Save.
gcloud
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat emailnya ke array members
dalam binding roles/healthcare.datasetViewer
:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, jalankan perintah set-iam-policy
yang sesuai untuk melakukan perubahan. Untuk menetapkan kebijakan tingkat set data, jalankan perintah gcloud healthcare datasets set-iam-policy
. Tentukan nama set data, lokasi, dan jalur ke file kebijakan yang Anda buat.
gcloud healthcare datasets set-iam-policy DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Jika permintaan berhasil, nama set data dan binding akan ditampilkan.
Updated IAM policy for dataset [DATASET_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.datasetAdmin - user:user-1@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.datasetViewer etag: bytes version: VERSION_NUMBER
curl
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat emailnya ke array members
dalam binding roles/healthcare.datasetViewer
:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, panggil
projects.locations.datasets.setIamPolicy
untuk melakukan perubahan.
Untuk menetapkan kebijakan IAM level set data, buat permintaan POST
dan tentukan nama set data, kebijakan, serta token akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan curl
untuk memberikan peran roles/healthcare.datasetViewer
yang sudah ada
kepada pengguna baru:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.datasetAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.datasetViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:setIamPolicy"
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat emailnya ke array members
dalam binding roles/healthcare.datasetViewer
:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, panggil
projects.locations.datasets.setIamPolicy
untuk melakukan perubahan.
Untuk menetapkan kebijakan IAM level set data, buat permintaan POST
dan tentukan nama set data, kebijakan, serta token akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan Windows PowerShell untuk memberikan
peran roles/healthcare.datasetViewer
yang sudah ada kepada pengguna baru:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.datasetAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role': 'roles/healthcare.datasetViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:setIamPolicy" | Select-Object -Expand Content
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Go
Java
Node.js
Python
Menggunakan IAM dengan penyimpanan DICOM
Bagian berikut menunjukkan cara mendapatkan, mengubah, dan menetapkan kebijakan untuk penyimpanan DICOM. Bagian ini menggunakan contoh kebijakan berikut sebagai titik awal:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Mendapatkan kebijakan
Contoh berikut menunjukkan cara membaca kebijakan IAM tingkat toko DICOM. Untuk informasi selengkapnya, lihat
projects.locations.datasets.dicomStores.getIamPolicy
.
Konsol
Guna melihat kebijakan IAM untuk penyimpanan DICOM:
- Di konsol Google Cloud, buka halaman Datasets.
- Klik ID set data yang berisi penyimpanan DICOM, lalu pilih penyimpanan DICOM yang ingin Anda dapatkan kebijakannya.
- Klik Tampilkan panel info.
- Untuk melihat akun utama yang ditetapkan ke suatu peran, luaskan peran.
gcloud
Untuk melihat kebijakan IAM untuk penyimpanan DICOM, jalankan perintah gcloud healthcare dicom-stores get-iam-policy
. Tentukan nama penyimpanan DICOM, nama set data, dan lokasi.
gcloud healthcare dicom-stores get-iam-policy DICOM_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Jika permintaan berhasil, binding akan ditampilkan.
bindings: - members: - user:user-1@example.com role: roles/healthcare.dicomStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.dicomViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Guna membaca kebijakan IAM untuk penyimpanan DICOM, buat permintaan GET
dan
tentukan nama set data, nama penyimpanan DICOM, dan token
akses.
Contoh berikut menunjukkan permintaan GET
yang menggunakan curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:getIamPolicy"
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Guna membaca kebijakan IAM untuk penyimpanan DICOM, buat permintaan GET
dan
tentukan nama set data, nama penyimpanan DICOM, dan token
akses.
Contoh berikut menunjukkan permintaan GET
menggunakan Windows PowerShell:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:getIamPolicy" | Select-Object -Expand Content
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Mengubah kebijakan
Contoh berikut memberikan peran roles/healthcare.dicomViewer
kepada pengguna baru. Untuk informasi selengkapnya, lihat projects.locations.datasets.dicomStores.setIamPolicy
.
Menetapkan kebijakan
Konsol
Untuk menetapkan kebijakan IAM tingkat penyimpanan DICOM, selesaikan langkah-langkah berikut:
- Di konsol Google Cloud, buka halaman Datasets.
- Klik ID set data yang berisi penyimpanan DICOM, lalu pilih penyimpanan DICOM yang ingin Anda tetapkan kebijakannya.
- Klik Tampilkan panel info.
- Klik Tambahkan akun utama.
- Di kolom New principals, masukkan satu atau beberapa identitas yang memerlukan akses ke penyimpanan DICOM.
- Dalam daftar Select a role, di bagian Cloud Healthcare, pilih izin yang ingin Anda berikan. Misalnya, Healthcare DICOM Store Viewer.
- Klik Save.
gcloud
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat emailnya ke array members
dalam binding roles/healthcare.dicomViewer
:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, jalankan perintah set-iam-policy
yang sesuai untuk melakukan perubahan. Untuk menetapkan kebijakan tingkat toko DICOM, jalankan perintah gcloud healthcare dicom-stores set-iam-policy
. Tentukan nama penyimpanan DICOM, nama set data, lokasi, dan jalur ke file kebijakan yang Anda buat.
gcloud healthcare dicom-stores set-iam-policy DICOM_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Jika permintaan berhasil, nama penyimpanan DICOM dan binding akan ditampilkan.
Updated IAM policy for dicomStore [DICOM_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.dicomStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.dicomViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat emailnya ke array members
dalam binding roles/healthcare.dicomViewer
:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, panggil
projects.locations.datasets.dicomStores.setIamPolicy
untuk melakukan perubahan.
Untuk menetapkan kebijakan IAM tingkat toko DICOM, buat permintaan POST
dan tentukan nama set data, nama penyimpanan DICOM, kebijakan, dan token akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan curl
untuk memberikan peran roles/healthcare.dicomViewer
yang sudah ada
kepada pengguna baru:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.dicomStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.dicomViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:setIamPolicy"
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat emailnya ke array members
dalam binding roles/healthcare.dicomViewer
:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, panggil
projects.locations.datasets.dicomStores.setIamPolicy
untuk melakukan perubahan.
Untuk menetapkan kebijakan IAM tingkat toko DICOM, buat permintaan POST
dan tentukan nama set data, nama penyimpanan DICOM, kebijakan, dan token akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan Windows PowerShell untuk memberikan
peran roles/healthcare.dicomViewer
yang sudah ada kepada pengguna baru:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.dicomStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.dicomViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:setIamPolicy" | Select-Object -Expand Content
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Menggunakan IAM dengan penyimpanan FHIR
Bagian berikut menunjukkan cara mendapatkan, mengubah, dan menetapkan kebijakan untuk penyimpanan FHIR. Bagian ini menggunakan contoh kebijakan berikut sebagai titik awal:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Mendapatkan kebijakan
Contoh berikut menunjukkan cara membaca kebijakan IAM tingkat toko
FHIR. Untuk informasi selengkapnya, lihat
projects.locations.datasets.fhirStores.getIamPolicy
.
Konsol
Guna melihat kebijakan IAM untuk penyimpanan FHIR:
- Di konsol Google Cloud, buka halaman Datasets.
- Klik ID set data yang berisi penyimpanan FHIR, lalu pilih penyimpanan FHIR yang ingin Anda dapatkan kebijakannya.
- Klik Tampilkan panel info.
- Untuk melihat akun utama yang ditetapkan ke suatu peran, luaskan peran.
gcloud
Untuk melihat kebijakan IAM penyimpanan FHIR, jalankan perintah gcloud healthcare fhir-stores get-iam-policy
. Tentukan nama penyimpanan FHIR, nama set data, dan lokasi.
gcloud healthcare fhir-stores get-iam-policy FHIR_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Jika permintaan berhasil, binding akan ditampilkan.
bindings: - members: - user:user-1@example.com role: roles/healthcare.fhirStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.fhirResourceReader etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Guna membaca kebijakan IAM untuk penyimpanan FHIR, buat permintaan POST
dan tentukan nama set data, nama penyimpanan FHIR, dan token
akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:getIamPolicy"
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Guna membaca kebijakan IAM untuk penyimpanan FHIR, buat permintaan POST
dan
tentukan nama set data, nama penyimpanan FHIR, dan token
akses.
Contoh berikut menunjukkan permintaan POST
menggunakan Windows PowerShell:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:getIamPolicy" | Select-Object -Expand Content
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Mengubah kebijakan
Contoh berikut memberikan peran roles/healthcare.fhirResourceReader
kepada pengguna baru. Untuk informasi selengkapnya, lihat projects.locations.datasets.fhirStores.setIamPolicy
.
Menetapkan kebijakan
Konsol
Untuk menetapkan kebijakan IAM tingkat toko FHIR, selesaikan langkah-langkah berikut:
- Di konsol Google Cloud, buka halaman Datasets.
- Klik ID set data yang berisi penyimpanan FHIR, lalu pilih penyimpanan FHIR yang ingin ditetapkan kebijakannya.
- Klik Tampilkan panel info.
- Klik Tambahkan akun utama.
- Di kolom New principals, masukkan satu atau beberapa identitas yang memerlukan akses ke penyimpanan FHIR.
- Dalam daftar Select a role, di bagian Cloud Healthcare, pilih izin yang ingin Anda berikan. Misalnya, Healthcare FHIR Resource Reader.
- Klik Save.
gcloud
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat email mereka ke array members
pada binding roles/healthcare.fhirResourceReader
:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, jalankan perintah set-iam-policy
yang sesuai untuk melakukan perubahan.
Untuk menetapkan kebijakan tingkat toko FHIR, jalankan
perintah
gcloud healthcare fhir-stores set-iam-policy
. Tentukan nama penyimpanan FHIR, nama set data, lokasi, dan
jalur ke file kebijakan yang Anda buat.
gcloud healthcare fhir-stores set-iam-policy FHIR_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Jika permintaan berhasil, nama penyimpanan FHIR dan binding akan ditampilkan.
Updated IAM policy for fhirStore [FHIR_STORE_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.fhirResourceReader etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan editor teks. Nilaietag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat email mereka ke array members
pada binding roles/healthcare.fhirResourceReader
:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, panggil
projects.locations.datasets.fhirStores.setIamPolicy
untuk melakukan perubahan.
Untuk menetapkan kebijakan IAM tingkat toko FHIR, buat permintaan POST
dan tentukan nama set data, nama penyimpanan FHIR, kebijakan, dan token akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan curl
untuk memberikan peran roles/healthcare.fhirResourceReader
yang sudah ada
kepada pengguna baru:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.fhirStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.fhirResourceReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:setIamPolicy"
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat email mereka ke array members
pada binding roles/healthcare.fhirResourceReader
:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, panggil
projects.locations.datasets.fhirStores.setIamPolicy
untuk melakukan perubahan.
Untuk menetapkan kebijakan IAM tingkat toko FHIR, buat permintaan POST
dan tentukan nama set data, nama penyimpanan FHIR, kebijakan, dan token akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan Windows PowerShell untuk memberikan
peran roles/healthcare.fhirResourceReader
yang sudah ada kepada pengguna baru:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.fhirStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.fhirResourceReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:setIamPolicy" | Select-Object -Expand Content
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Menggunakan IAM dengan penyimpanan HL7v2
Bagian berikut menunjukkan cara mendapatkan, mengubah, dan menetapkan kebijakan untuk penyimpanan HL7v2. Bagian ini menggunakan contoh kebijakan berikut sebagai titik awal:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Mendapatkan kebijakan
Contoh berikut menunjukkan cara membaca kebijakan IAM tingkat toko
HL7v2. Untuk informasi selengkapnya, lihat
projects.locations.datasets.hl7V2Stores.getIamPolicy
.
Konsol
Guna melihat kebijakan IAM untuk penyimpanan HL7v2:
- Di konsol Google Cloud, buka halaman Datasets.
- Klik ID set data yang berisi penyimpanan HL7v2, lalu pilih penyimpanan HL7v2 yang ingin Anda dapatkan kebijakannya.
- Klik Tampilkan panel info.
- Untuk melihat akun utama yang ditetapkan ke suatu peran, luaskan peran.
gcloud
Untuk melihat kebijakan IAM untuk penyimpanan HL7v2, jalankan perintah hl7v2-stores get-iam-policy
. Tentukan nama toko HL7v2, nama set data, dan lokasi.
gcloud healthcare hl7v2-stores get-iam-policy HL7V2_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Jika permintaan berhasil, binding akan ditampilkan.
bindings: - members: - user:user-1@example.com role: roles/healthcare.hl7v2StoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.hl7v2Consumer etag: bytes version: VERSION_NUMBER
curl
Guna membaca kebijakan IAM untuk penyimpanan HL7v2, buat permintaan GET
dan
tentukan nama set data, nama penyimpanan HL7v2, dan token
akses.
Contoh berikut menunjukkan permintaan GET
yang menggunakan curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:getIamPolicy"
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Guna membaca kebijakan IAM untuk penyimpanan HL7v2, buat permintaan GET
dan
tentukan nama set data, nama penyimpanan HL7v2, dan token
akses.
Contoh berikut menunjukkan permintaan GET
menggunakan Windows PowerShell:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:getIamPolicy" | Select-Object -Expand Content
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Go
Java
Node.js
Python
Mengubah kebijakan
Contoh berikut memberikan peran roles/healthcare.hl7V2Consumer
kepada pengguna baru. Untuk informasi selengkapnya, lihat projects.locations.datasets.hl7V2Stores.setIamPolicy
.
Menetapkan kebijakan
Konsol
Untuk menetapkan kebijakan IAM tingkat toko HL7v2, selesaikan langkah-langkah berikut:
- Di konsol Google Cloud, buka halaman Datasets.
- Klik ID set data yang berisi penyimpanan HL7v2, lalu pilih penyimpanan HL7v2 yang ingin ditetapkan kebijakannya.
- Klik Tampilkan panel info.
- Klik Tambahkan akun utama.
- Di kolom New principals, masukkan satu atau beberapa identitas yang memerlukan akses ke penyimpanan HL7v2.
- Dalam daftar Select a role, di bagian Cloud Healthcare, pilih izin yang ingin Anda berikan. Misalnya, Healthcare HL7v2 Message Consumer.
- Klik Save.
gcloud
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat email mereka ke array members
pada binding roles/healthcare.hl7V2Consumer
:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, jalankan perintah set-iam-policy
yang sesuai untuk melakukan perubahan.
Untuk menetapkan kebijakan tingkat toko HL7v2, jalankan
perintah
gcloud healthcare hl7v2-stores set-iam-policy
. Tentukan nama penyimpanan HL7v2, nama set data, lokasi, dan
jalur ke file kebijakan yang Anda buat.
gcloud healthcare hl7v2-stores set-iam-policy HL7V2_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Jika permintaan berhasil, nama penyimpanan HL7v2 dan binding akan ditampilkan.
Updated IAM policy for hl7v2Store [HL7V2_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.hl7v2StoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.hl7v2Consumer etag: bytes version: VERSION_NUMBER
curl
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat email mereka ke array members
pada binding roles/healthcare.hl7V2Consumer
:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, panggil
projects.locations.datasets.hl7V2Stores.setIamPolicy
untuk melakukan perubahan.
Untuk menetapkan kebijakan IAM tingkat toko HL7v2, buat permintaan POST
dan tentukan nama set data, nama penyimpanan HL7v2, kebijakan, dan token akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan curl
untuk memberikan peran roles/healthcare.hl7V2Consumer
yang sudah ada
kepada pengguna baru.
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.hl7V2StoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.hl7V2Consumer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:setIamPolicy"
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada pengguna baru, tambahkan alamat email mereka ke array members
pada binding roles/healthcare.hl7V2Consumer
:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, panggil
projects.locations.datasets.hl7V2Stores.setIamPolicy
untuk melakukan perubahan.
Untuk menetapkan kebijakan IAM tingkat toko HL7v2, buat permintaan POST
dan tentukan nama set data, nama penyimpanan HL7v2, kebijakan, dan token akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan curl
untuk memberikan peran roles/healthcare.hl7V2Consumer
yang sudah ada
kepada pengguna baru:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.hl7V2StoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.hl7V2Consumer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:setIamPolicy" | Select-Object -Expand Content
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Go
Java
Node.js
Python
Menggunakan IAM dengan Healthcare Natural Language API
Bagian berikut menunjukkan cara mendapatkan, mengubah, dan menetapkan kebijakan untuk Healthcare Natural Language API. Bagian ini menggunakan contoh kebijakan berikut sebagai titik awal:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
Mendapatkan kebijakan
Contoh berikut menunjukkan cara membaca kebijakan IAM level project. Untuk informasi selengkapnya, lihat
metode
projects.getIamPolicy
.
curl
Untuk membaca kebijakan IAM untuk project, buat permintaan POST
dan
tentukan nama project serta token akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan curl
:
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy"
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
PowerShell
Untuk melihat kebijakan IAM untuk sebuah project, buat permintaan POST
dan tentukan nama project serta token akses.
Contoh berikut menunjukkan permintaan POST
menggunakan Windows PowerShell:
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method POST ` -Headers $headers ` -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy" | Select-Object -Expand Content
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
Konsol
Untuk melihat kebijakan IAM untuk sebuah project, selesaikan langkah-langkah berikut:
- Di Konsol Google Cloud, buka halaman IAM.
- Untuk melihat akun utama yang ditetapkan ke peran, klik Peran, lalu luaskan peran.
gcloud
Untuk melihat kebijakan IAM project, jalankan perintah gcloud projects get-iam-policy
. Tentukan nama project dalam permintaan.
gcloud projects get-iam-policy PROJECT_ID
Jika permintaan berhasil, binding akan ditampilkan.
bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com role: roles/healthcare.nlpServiceViewer etag: bytes version: VERSION_NUMBER
Mengubah kebijakan
Contoh berikut memberikan peran roles/healthcare.nlpServiceViewer
kepada layanan. Untuk informasi selengkapnya, lihat projects.setIamPolicy
.
Menetapkan kebijakan
Konsol
Untuk menetapkan kebijakan IAM level project, selesaikan langkah-langkah berikut:
- Di Konsol Google Cloud, buka halaman IAM.
- Klik tombol Edit di samping akun utama atau klik Add principal, lalu di kolom New principals, masukkan satu atau beberapa identitas yang memerlukan akses ke project.
- Dalam daftar Select a role, di bagian Cloud Healthcare, pilih Healthcare Natural Language Service Viewer.
- Klik Save.
gcloud
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada akun layanan yang baru, tambahkan alamat email akun layanan ke array members
di bagian binding roles/healthcare.nlpServiceViewer
:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, jalankan perintah
gcloud projects set-iam-policy
untuk melakukan perubahan. Tentukan project dan jalur ke file kebijakan
yang Anda buat.
gcloud projects set-iam-policy PROJECT_STORE_ID \ POLICY_FILE_NAME
Jika permintaan berhasil, nama project dan binding akan ditampilkan.
Updated IAM policy for project [PROJECT_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - serviceAccount:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.nlpServiceViewer etag: bytes version: VERSION_NUMBER
curl
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada akun layanan yang baru, tambahkan alamat email akun layanan ke array members
di bagian binding roles/healthcare.nlpServiceViewer
:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, panggil
projects.setIamPolicy
untuk melakukan perubahan.
Untuk menetapkan kebijakan IAM level project, buat permintaan POST
dan tentukan nama project, kebijakan, serta token akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan curl
untuk memberikan peran roles/healthcare.nlpServiceViewer
yang sudah ada
kepada pengguna baru:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.nlpServiceViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com' ] } ] } }" "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy"
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
PowerShell
Berikan atau cabut peran kepada pengguna dengan mengubah kebijakan yang Anda ambil, secara terprogram, atau menggunakan
editor teks. Nilai etag
berubah saat kebijakan berubah, jadi Anda harus menentukan
nilai saat ini.
Untuk memberikan peran tersebut kepada akun layanan yang baru, tambahkan alamat email akun layanan ke array members
di bagian binding roles/healthcare.nlpServiceViewer
:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }Untuk mencabut akses akun utama, hapus alamat emailnya dari array
members
. Untuk
mencabut akses dari akun utama terakhir yang memiliki peran, hapus array bindings
untuk
peran tersebut. Anda tidak boleh memiliki array bindings
kosong dalam kebijakan Anda.
Setelah Anda mengubah kebijakan untuk memberikan peran yang berlaku, panggil
projects.setIamPolicy
untuk melakukan perubahan.
Untuk menetapkan kebijakan IAM level project, buat permintaan POST
dan tentukan nama project, kebijakan, serta token akses.
Contoh berikut menunjukkan permintaan POST
yang menggunakan curl
untuk memberikan peran roles/healthcare.nlpServiceViewer
yang sudah ada
kepada pengguna baru:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.nlpServiceViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'serviceAccount:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy" | Select-Object -Expand Content
Responsnya adalah sebagai berikut:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_USER_EMAIL_ADDRESS" ] } ] }
Langkah selanjutnya
- Baca tentang pola baca-ubah-tulis menggunakan kebijakan IAM.
- Lihat peran Cloud Healthcare API yang tersedia.