Membuat dan memberikan peran ke agen layanan

Di Google Cloud, agen layanan level project, folder, dan organisasi dibuat secara otomatis saat Anda mengaktifkan dan menggunakan layanan Google Cloud. Terkadang, agen layanan ini juga secara otomatis diberi peran yang memungkinkan mereka untuk membuat dan mengakses resource atas nama Anda.

Jika perlu, Anda juga dapat meminta Google Cloud untuk membuat agen layanan level project, folder, dan organisasi bagi layanan sebelum Anda menggunakannya. Dengan meminta Google Cloud untuk membuat agen layanan, Anda dapat memberikannya peran sebelum menggunakan layanan. Jika agen layanan belum dibuat, maka Anda tidak dapat memberikannya peran.

Opsi ini berguna jika Anda menggunakan salah satu strategi berikut untuk mengelola kebijakan izin:

  • Framework deklaratif seperti Terraform. Jika konfigurasi Terraform tidak menyertakan peran agen layanan, peran tersebut akan dicabut saat Anda menerapkan konfigurasi. Dengan membuat agen layanan dan memberikannya peran di konfigurasi Terraform, Anda memastikan peran ini tidak dicabut.
  • Sistem kebijakan sebagai kode yang menyimpan salinan kebijakan izin Anda saat ini di repositori kode. Jika Anda mengizinkan Google Cloud memberikan peran kepada agen layanan secara otomatis, peran tersebut akan muncul dalam kebijakan izin Anda yang sebenarnya, tetapi tidak dalam salinan kebijakan izin yang tersimpan. Untuk mengatasi inkonsistensi ini, Anda mungkin salah mencabut peran tersebut. Dengan membuat agen layanan dan memberikannya peran secara proaktif, Anda dapat mencegah penyimpangan antara repositori kode dan kebijakan izin yang sebenarnya.

Setelah memicu pembuatan agen layanan, Anda harus memberikan peran yang biasanya diberikan secara otomatis kepada agen layanan. Jika tidak, beberapa layanan mungkin tidak berfungsi dengan benar. Hal ini karena agen layanan yang dibuat atas permintaan pengguna tidak diberi peran secara otomatis.

Sebelum memulai

  • Enable the Resource Manager API.

    Enable the API

  • Memahami agen layanan.

Peran yang diperlukan

Memicu pembuatan agen layanan tidak memerlukan izin IAM apa pun. Namun, Anda memerlukan izin IAM tertentu untuk tugas lain di halaman ini:

  • Untuk mendapatkan izin yang diperlukan saat mencantumkan layanan yang tersedia beserta endpoint-nya, minta administrator untuk memberikan peran IAM Service Usage Viewer (roles/serviceusage.serviceUsageViewer) di project, folder, atau organisasi yang layanannya ingin Anda cantumkan. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Peran bawaan ini berisi izin serviceusage.services.list, yang diperlukan untuk mencantumkan layanan yang tersedia beserta endpoint-nya.

    Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

  • Untuk mendapatkan izin yang diperlukan saat memberikan akses kepada agen layanan, minta administrator untuk memberi Anda peran IAM berikut pada project, folder, atau organisasi yang Anda berikan akses:

    • Memberikan agen layanan akses ke project: Project IAM Admin (roles/resourcemanager.projectIamAdmin)
    • Memberikan agen layanan akses ke folder: Folder Admin (roles/resourcemanager.folderAdmin)
    • Memberikan agen layanan akses ke project, folder, dan organisasi: Organization Admin (roles/resourcemanager.organizationAdmin)

    Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Peran bawaan ini berisi izin yang diperlukan untuk memberikan akses kepada agen layanan. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

    Izin yang diperlukan

    Izin berikut diperlukan untuk memberikan akses kepada agen layanan:

    • Memberikan agen layanan akses ke project:
      • resourcemanager.projects.getIamPolicy
      • resourcemanager.projects.setIamPolicy
    • Memberikan agen layanan akses ke folder:
      • resourcemanager.folders.getIamPolicy
      • resourcemanager.folders.setIamPolicy
    • Memberikan agen layanan akses ke organisasi:
      • resourcemanager.organizations.getIamPolicy
      • resourcemanager.organizations.setIamPolicy

    Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mengidentifikasi agen layanan yang akan dibuat

Untuk mengidentifikasi agen layanan level project, folder, dan organisasi yang perlu Anda minta agar dibuat oleh Google Cloud, lakukan hal berikut:

  1. Buat daftar layanan yang Anda gunakan dan endpoint API-nya. Untuk melihat semua layanan yang tersedia beserta endpoint-nya, gunakan salah satu metode berikut:

    Konsol

    Buka halaman Library API di konsol Google Cloud.

    Buka Library API

    Endpoint API adalah Nama layanan yang tercantum di bagian Detail tambahan.

    gcloud

    Perintah gcloud services list mencantumkan semua layanan yang tersedia untuk sebuah project.

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • EXPRESSION: Opsional. Ekspresi untuk memfilter hasil. Misalnya, ekspresi berikut memfilter semua layanan yang namanya berisi googleapis.com tetapi tidak berisi sandbox:

      name ~ googleapis.com AND name !~ sandbox

      Untuk daftar ekspresi filter, lihat gcloud topic filters.

    • LIMIT: Opsional. Jumlah hasil maksimum yang akan ditampilkan. Dafaultnya adalah unlimited.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud services list --available --filter='EXPRESSION' --limit=LIMIT

    Windows (PowerShell)

    gcloud services list --available --filter='EXPRESSION' --limit=LIMIT

    Windows (cmd.exe)

    gcloud services list --available --filter='EXPRESSION' --limit=LIMIT

    Respons ini berisi nama dan judul semua layanan yang tersedia. Endpoint API adalah nilai di kolom NAME.

    REST

    Metode Service Usage API services.list mencantumkan semua layanan yang tersedia untuk sebuah project.

    Sebelum menggunakan salah satu dari data permintaan, lakukan penggantian berikut:

    • RESOURCE_TYPE: Jenis resource yang ingin Anda cantumkan untuk layanan yang tersedia. Gunakan projects, folders, atau organizations.
    • RESOURCE_ID: ID project, folder, atau organisasi Google Cloud yang ingin Anda cantumkan untuk layanan yang tersedia. ID project adalah string alfanumerik, seperti my-project. ID folder dan organisasi adalah angka, seperti 123456789012.
    • PAGE_SIZE: Opsional. Jumlah layanan yang akan disertakan dalam respons. Nilai defaultnya adalah 50 dan nilai maksimumnya adalah 200. Jika jumlah layanan lebih besar dari ukuran halaman, respons akan berisi token penomoran halaman yang dapat Anda gunakan untuk mengambil halaman hasil berikutnya.
    • NEXT_PAGE_TOKEN: Opsional. Token penomoran halaman yang ditampilkan dalam respons sebelumnya dari metode ini. Jika ditentukan, daftar layanan akan dimulai dari tempat permintaan sebelumnya berakhir.

    Metode HTTP dan URL:

    GET https://serviceusage.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/services?pageSize=PAGE_SIZE&pageToken=NEXT_PAGE_TOKEN

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Respons berisi nama dan judul semua layanan yang tersedia untuk resource. Jika jumlah layanan yang tersedia lebih besar dari ukuran halaman, respons juga berisi token penomoran halaman.

    Endpoint API adalah nilai di kolom name.

  2. Di halaman referensi agen layanan, telusuri setiap endpoint API.

    Jika endpoint tercantum dalam tabel, temukan semua agen layanan untuk endpoint tersebut. Abaikan semua agen layanan yang alamat emailnya berisi placeholder IDENTIFIER. Agen layanan tersebut ditujukan untuk resource khusus layanan, bukan project, folder, atau organisasi.

    Untuk setiap agen layanan level project, folder, dan organisasi, catat hal berikut:

    • Format alamat email agen layanan.
    • Peran yang diberikan kepada agen layanan, jika ada.

Memicu pembuatan agen layanan

Setelah mengetahui agen layanan yang perlu dibuat, Anda dapat meminta Google Cloud untuk membuatnya.

Saat meminta Google Cloud untuk membuat agen layanan, Anda perlu menyediakan layanan dan resource. Kemudian, Google Cloud akan membuat semua agen layanan untuk layanan dan resource tersebut.

gcloud

Untuk setiap layanan yang perlu Anda buatkan agen layanannya, lakukan hal berikut:

  1. Tinjau alamat email agen layanan untuk layanan tersebut. Gunakan placeholder di alamat email untuk menentukan resource manakah yang Anda perlukan dalam membuat agen layanan:

    Placeholder Tempat membuat agen layanan
    PROJECT_NUMBER Setiap project tempat Anda akan menggunakan layanan
    FOLDER_NUMBER Setiap folder tempat Anda akan menggunakan layanan
    ORGANIZATION_NUMBER Setiap organisasi tempat Anda akan menggunakan layanan

  2. Membuat agen layanan untuk setiap resource.

    Perintah gcloud beta services identity create membuat semua agen layanan untuk API dan resource yang ditentukan.

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • ENDPOINT: Endpoint API yang diinginkan untuk membuat agen layanan, misalnya, aiplatform.googleapis.com.
    • RESOURCE_TYPE: Jenis resource yang diinginkan untuk membuat agen layanan. Gunakan project, folder, atau organization.
    • RESOURCE_ID: ID project, folder, atau organisasi Google Cloud yang diinginkan untuk membuat agen layanan. ID project adalah string alfanumerik, seperti my-project. ID folder dan organisasi adalah angka, seperti 123456789012.

      Anda dapat membuat agen layanan untuk satu resource pada satu waktu. Jika Anda perlu membuat agen layanan untuk beberapa resource, jalankan perintah satu kali untuk setiap resource.

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta services identity create --service=ENDPOINT \
        --RESOURCE_TYPE=RESOURCE_ID

    Windows (PowerShell)

    gcloud beta services identity create --service=ENDPOINT `
        --RESOURCE_TYPE=RESOURCE_ID

    Windows (cmd.exe)

    gcloud beta services identity create --service=ENDPOINT ^
        --RESOURCE_TYPE=RESOURCE_ID

    Respons berisi alamat email dari agen layanan utama layanan. Alamat email ini mencakup ID numerik project, folder, atau organisasi yang Anda buatkan agen layanannya.

    Jika layanan tidak memiliki agen layanan utama, respons tidak berisi alamat email.

    Berikut adalah contoh respons untuk layanan yang memiliki agen layanan utama.

    Service identity created: service-232332569935@gcp-sa-aiplatform.iam.gserviceaccount.com
    

  3. Opsional: Catat alamat email agen layanan dalam respons, jika ada. Alamat email ini akan mengidentifikasi agen layanan utama layanan. Anda dapat menggunakan ID ini untuk memberikan peran kepada agen layanan utama.

Terraform

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi penyedia Terraform.

Untuk setiap layanan yang perlu Anda buatkan agen layanannya, lakukan hal berikut:

  1. Tinjau alamat email agen layanan untuk layanan tersebut. Gunakan placeholder di alamat email untuk menentukan resource manakah yang Anda perlukan dalam membuat agen layanan:

    Placeholder Tempat membuat agen layanan
    PROJECT_NUMBER Setiap project tempat Anda akan menggunakan layanan
    FOLDER_NUMBER Setiap folder tempat Anda akan menggunakan layanan
    ORGANIZATION_NUMBER Setiap organisasi tempat Anda akan menggunakan layanan

  2. Membuat agen layanan untuk setiap resource. Misalnya, kode berikut membuat semua agen layanan level project untuk AI Platform:

data "google_project" "default" {
}

# Create all project-level aiplatform.googleapis.com service agents
resource "google_project_service_identity" "default" {
  provider = google-beta

  project = data.google_project.default.project_id
  service = "aiplatform.googleapis.com"
}

REST

Untuk setiap layanan yang perlu Anda buatkan agen layanannya, lakukan hal berikut:

  1. Tinjau alamat email agen layanan untuk layanan tersebut. Gunakan placeholder di alamat email untuk menentukan resource manakah yang Anda perlukan dalam membuat agen layanan:

    Placeholder Tempat membuat agen layanan
    PROJECT_NUMBER Setiap project tempat Anda akan menggunakan layanan
    FOLDER_NUMBER Setiap folder tempat Anda akan menggunakan layanan
    ORGANIZATION_NUMBER Setiap organisasi tempat Anda akan menggunakan layanan

  2. Membuat agen layanan untuk setiap resource.

    Metode Service Usage API services.generateServiceIdentity membuat semua agen layanan untuk API dan resource yang ditentukan.

    Sebelum menggunakan salah satu dari data permintaan, lakukan penggantian berikut:

    • RESOURCE_TYPE: Jenis resource yang diinginkan untuk membuat agen layanan. Gunakan projects, folders, atau organizations.
    • RESOURCE_ID: ID project, folder, atau organisasi Google Cloud yang diinginkan untuk membuat agen layanan. ID project adalah string alfanumerik, seperti my-project. ID folder dan organisasi adalah angka, seperti 123456789012.

      Anda dapat membuat agen layanan untuk satu resource pada satu waktu. Jika Anda perlu membuat agen layanan untuk beberapa resource, kirim satu permintaan untuk setiap resource.

    • ENDPOINT: Endpoint API yang diinginkan untuk membuat agen layanan, misalnya, aiplatform.googleapis.com.

    Metode HTTP dan URL:

    POST https://serviceusage.googleapis.com/v1beta1/RESOURCE_TYPE/RESOURCE_ID/services/ENDPOINT:generateServiceIdentity

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Responsnya berisi Operation yang menunjukkan status permintaan Anda. Untuk memeriksa status operasi, gunakan metode operations.get.

    Operasi yang sudah selesai akan berisi alamat email agen layanan utama layanan. Alamat email ini mencakup ID numerik project, folder, atau organisasi yang Anda buatkan agen layanannya.

    Jika layanan tidak memiliki agen layanan utama, respons tidak berisi alamat email.

    Berikut adalah contoh operasi yang sudah selesai untuk layanan yang memiliki agen layanan utama.

    {
      "name": "operations/finished.DONE_OPERATION",
      "done": true,
      "response": {
        "@type": "type.googleapis.com/google.api.serviceusage.v1beta1.ServiceIdentity",
        "email": "service-232332569935@gcp-sa-aiplatform.iam.gserviceaccount.com",
        "uniqueId": "112245693826560101651"
      }
    }
    

  3. Opsional: Catat alamat email agen layanan dalam respons, jika ada. Alamat email ini akan mengidentifikasi agen layanan utama layanan. Anda dapat menggunakan ID ini untuk memberikan peran kepada agen layanan utama.

Memberikan peran ke agen layanan

Setelah Google Cloud membuat agen layanan yang diperlukan untuk project, folder, dan organisasi Anda, gunakan alamat email agen layanan untuk memberikannya peran.

Jika meminta Google Cloud untuk membuat agen layanan, Anda harus memberikan peran yang biasanya diberikan secara otomatis kepada agen layanan tersebut. Jika tidak, beberapa layanan mungkin tidak berfungsi dengan benar. Hal ini karena agen layanan yang dibuat atas permintaan pengguna tidak diberi peran secara otomatis.

Untuk mempelajari cara mengidentifikasi peran yang diberikan secara otomatis, lihat Mengidentifikasi agen layanan yang akan dibuat.

Menemukan alamat email agen layanan

Untuk menemukan alamat email agen layanan, lakukan hal berikut:

gcloud

  1. Jika Anda belum melakukannya, temukan format alamat email agen layanan. Format ini didokumentasikan dalam referensi agen layanan.

  2. Ganti placeholder apa pun di alamat email dengan nomor project, folder, atau organisasi yang sesuai.

Atau, jika agen layanan adalah agen layanan utama, Anda bisa mendapatkan alamat emailnya dengan memicu pembuatan agen layanan untuk layanan tersebut. Perintah untuk memicu pembuatan agen layanan akan menampilkan alamat email agen layanan utama.

Terraform

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi penyedia Terraform.

  1. Jika Anda belum melakukannya, temukan format alamat email agen layanan. Format ini didokumentasikan dalam referensi agen layanan.

  2. Ganti placeholder apa pun di alamat email dengan ekspresi yang merujuk ke nomor project, folder, atau organisasi yang sesuai.

    Misalnya, pertimbangkan situasi berikut:

    • Format alamat email adalah service-PROJECT_NUMBER@gcp-sa-aiplatform-cc.iam.gserviceaccount.com
    • Agen layanan adalah untuk project dengan label default

    Dalam hal ini, alamat email agen layanan adalah sebagai berikut:

    service-${data.google_project.default.number}@gcp-sa-aiplatform-cc.iam.gserviceaccount.com
    

Atau, jika agen layanan adalah agen layanan utama untuk suatu layanan, Anda bisa mendapatkan alamat emailnya dari atribut email resource google_project_service_identity.

Misalnya, jika Anda memiliki blok google_project_service_identity dengan label default, Anda bisa mendapatkan alamat email agen layanan utama layanan dengan menggunakan ekspresi berikut:

${google_project_service_identity.default.email}

REST

  1. Jika Anda belum melakukannya, temukan format alamat email agen layanan. Format ini didokumentasikan dalam referensi agen layanan.

  2. Ganti placeholder apa pun di alamat email dengan nomor project, folder, atau organisasi yang sesuai.

Atau, jika agen layanan adalah agen layanan utama, Anda bisa mendapatkan alamat emailnya dengan memicu pembuatan agen layanan untuk layanan tersebut. Perintah untuk memicu pembuatan agen layanan akan menampilkan alamat email agen layanan utama.

Memberikan peran ke agen layanan

Setelah menemukan alamat email agen layanan, Anda dapat memberikannya peran seperti saat memberikan peran kepada akun utama lainnya.

Konsol

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Pilih project, folder, atau organisasi.

  3. Klik Grant Access, lalu masukkan alamat email agen layanan.

  4. Pilih peran yang akan diberikan dari menu drop-down.

  5. Opsional: Tambahkan kondisi ke peran.

  6. Klik Simpan. Agen layanan diberi peran pada resource.

gcloud

Perintah add-iam-policy-binding memungkinkan Anda memberikan peran ke akun utama dengan cepat.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: Jenis resource yang aksesnya ingin Anda kelola. Gunakan projects, resource-manager folders, atau organizations.

  • RESOURCE_ID: ID project, folder, atau organisasi Google Cloud Anda. Project ID berupa alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

  • PRINCIPAL: ID untuk akun utama, atau anggota, yang biasanya memiliki bentuk berikut: PRINCIPAL_TYPE:ID. Contoh, user:my-user@example.com. Untuk daftar lengkap nilai yang dapat dimiliki PRINCIPAL, lihat ID utama.

    Untuk jenis akun utama user, nama domain dalam ID harus berupa domain Google Workspace atau Cloud Identity. Untuk mempelajari cara menyiapkan domain Cloud Identity, lihat ringkasan Cloud Identity.

  • ROLE_NAME: Nama peran yang ingin Anda cabut. Gunakan salah satu format berikut:

    • Peran bawaan: roles/SERVICE.IDENTIFIER
    • Peran khusus level project: projects/PROJECT_ID/roles/IDENTIFIER
    • Peran khusus level organisasi: organizations/ORG_ID/roles/IDENTIFIER

    Untuk mengetahui daftar peran bawaan, lihat Memahami peran.

  • CONDITION: Kondisi yang akan ditambahkan ke binding peran. Jika Anda tidak ingin menambahkan kondisi, gunakan nilai None. Untuk informasi selengkapnya tentang kondisi, lihat ringkasan kondisi.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID \
    --member=PRINCIPAL --role=ROLE_NAME \
    --condition=CONDITION

Windows (PowerShell)

gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID `
    --member=PRINCIPAL --role=ROLE_NAME `
    --condition=CONDITION

Windows (cmd.exe)

gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ^
    --member=PRINCIPAL --role=ROLE_NAME ^
    --condition=CONDITION

Respons berisi kebijakan IAM yang telah diupdate.

Terraform

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform. Untuk mengetahui informasi selengkapnya, lihat dokumentasi referensi penyedia Terraform.

# Grant the AI Platform Custom Code Service Account the Vertex AI Custom
# Code Service Agent role (roles/aiplatform.customCodeServiceAgent)
resource "google_project_iam_member" "custom_code" {
  project = data.google_project.default.project_id
  role    = "roles/aiplatform.customCodeServiceAgent"
  member  = "serviceAccount:service-${data.google_project.default.number}@gcp-sa-aiplatform-cc.iam.gserviceaccount.com"
}

# Grant the primary aiplatform.googleapis.com service agent (AI Platform
# Service Agent) the Vertex AI Service Agent role
# (roles/aiplatform.serviceAgent)
resource "google_project_iam_member" "primary" {
  project = data.google_project.default.project_id
  role    = "roles/aiplatform.serviceAgent"
  member  = "serviceAccount:${google_project_service_identity.default.email}"
}

REST

Untuk memberikan peran dengan REST API, gunakan pola baca-ubah-tulis:

  1. Baca kebijakan izin saat ini dengan memanggil getIamPolicy().

    Metode Resource Manager API getIamPolicy mendapatkan kebijakan izin project, folder, atau organisasi.

    Sebelum menggunakan salah satu dari data permintaan, lakukan penggantian berikut:

    • API_VERSION: Versi API yang akan digunakan. Untuk project dan organisasi, gunakan v1. Untuk folder, gunakan v2.
    • RESOURCE_TYPE: Jenis resource yang ingin Anda kelola kebijakannya. Gunakan nilai projects, folders, atau organizations.
    • RESOURCE_ID: Project Google Cloud organisasi, atau ID folder Anda. ID project berupa string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
    • POLICY_VERSION: Versi kebijakan yang akan ditampilkan. Permintaan harus menentukan versi kebijakan terbaru, yaitu kebijakan versi 3. Lihat Menentukan versi kebijakan saat mendapatkan kebijakan untuk detailnya.

    Metode HTTP dan URL:

    POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy

    Meminta isi JSON:

    {
      "options": {
        "requestedPolicyVersion": POLICY_VERSION
      }
    }
    

    Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

    Responsnya berisi kebijakan izin resource. Contoh:

    {
      "version": 1,
      "etag": "BwWKmjvelug=",
      "bindings": [
        {
          "role": "roles/owner",
          "members": [
            "user:my-user@example.com"
          ]
        }
      ]
    }
    

  2. Edit kebijakan izin resource, baik dengan menggunakan editor teks maupun secara terprogram, untuk menambahkan atau menghapus akun utama atau binding peran apa pun. Misalnya Anda dapat menambahkan binding peran baru, menghapus binding peran yang ada, maupun menambahkan atau menghapus akun utama dari binding peran yang ada.

  3. Tulis kebijakan izin yang telah diupdate dengan memanggil setIamPolicy().

    Metode Resource Manager API setIamPolicy menetapkan kebijakan dalam permintaan sebagai kebijakan izin baru untuk project, folder, atau organisasi.

    Sebelum menggunakan salah satu dari data permintaan, lakukan penggantian berikut:

    • API_VERSION: Versi API yang akan digunakan. Untuk project dan organisasi, gunakan v1. Untuk folder, gunakan v2.
    • RESOURCE_TYPE: Jenis resource yang ingin Anda kelola kebijakannya. Gunakan nilai projects, folders, atau organizations.
    • RESOURCE_ID: Project Google Cloud organisasi, atau ID folder Anda. ID project berupa string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
    • POLICY: Representasi JSON dari kebijakan yang ingin Anda tetapkan. Untuk informasi selengkapnya tentang format kebijakan, lihat referensi Kebijakan.

    Metode HTTP dan URL:

    POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy

    Meminta isi JSON:

    {
      "policy": POLICY
    }
    

    Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

    Respons berisi kebijakan izin yang telah diperbarui.

Langkah selanjutnya