Praktik terbaik untuk menggunakan Google Grup

Dokumen ini menjelaskan beberapa praktik terbaik untuk menggunakan grup Google guna mengelola akses ke resource Google Cloud dengan Identity and Access Management (IAM).

Jenis grup

Jenis grup yang tercantum di sini adalah salah satu cara untuk memikirkan, menggunakan, dan mengelola Google Grup. Jenis grup ini tidak ditetapkan oleh atribut grup Google apa pun. Namun, penggunaan jenis grup ini dalam pendekatan Anda secara keseluruhan terhadap manajemen grup Google dapat membantu Anda menghindari beberapa masalah keamanan umum.

Dokumen ini menggunakan jenis grup berikut:

• Grup organisasi

  Grup organisasi mewakili subset struktur organisasi, dan biasanya bersumber dari data sumber daya manusia. Grup tersebut mungkin didasarkan pada departemen, struktur pelaporan, lokasi geografis, atau pengelompokan organisasi lainnya.

  Anggota grup organisasi berubah saat karyawan bergabung dengan organisasi, pindah ke departemen lain, atau keluar dari organisasi.

  Struktur keseluruhan grup organisasi dapat berubah saat bisnis melakukan reorganisasi. Pengorganisasian ulang dapat menyebabkan pembuatan grup baru, atau penghentian grup yang ada.

  Beberapa contoh grup organisasi mencakup org.marketing-fte, org.finance-all, org.msmith-reports, org.apac-all, dan org.summer-interns.

  Grup organisasi biasanya digunakan untuk komunikasi email.

• Grup kolaborasi

  Grup kolaborasi mewakili grup kerja, anggota project, atau pengguna yang ingin berkolaborasi dalam project atau mendiskusikan topik tertentu.

  Struktur grup kolaborasi tidak ditautkan ke struktur organisasi apa pun. Laporan ini sering kali dibuat secara ad hoc dan mandiri.

  Keanggotaan dalam grup kolaborasi dapat tidak dibatasi, sehingga siapa saja di organisasi dapat bergabung. Atau, grup kolaborasi dapat dikelola sendiri, yang berarti anggota tertentu dapat memutuskan siapa lagi yang akan disertakan dalam grup.

  Beberapa contoh grup kolaborasi mencakup collab.security-discuss dan collab.website-relaunch.

  Grup kolaborasi biasanya digunakan untuk komunikasi email.

• Grup akses

  Grup akses digunakan hanya untuk memberikan akses. Peran ini mewakili fungsi pekerjaan dan digunakan untuk menyederhanakan penetapan peran yang diperlukan untuk menjalankan fungsi pekerjaan ini. Alih-alih memberikan peran kepada akun utama individu, Anda memberikan peran ke grup, lalu mengelola keanggotaan grup.

  Struktur grup akses dipengaruhi oleh struktur resource atau beban kerja di organisasi Anda. Deployment resource atau workload baru mungkin memerlukan pembuatan grup akses baru.

  Keanggotaan dalam grup akses umumnya dikontrol oleh satu atau beberapa pemilik grup, yang mengundang pengguna ke grup atau menyetujui permintaan pengguna untuk bergabung dengan grup.

  Beberapa contoh grup akses meliputi access.prod-firewall-admins, access.finance-datamart-viewers, dan access.billing-dashboard-users.

  Grup akses hanya digunakan untuk memberikan akses. Biner ini tidak digunakan untuk tujuan komunikasi.

• Grup penegakan

  Grup penerapan mirip dengan grup akses, kecuali bahwa grup ini digunakan untuk menerapkan kebijakan pembatasan akses, bukan memberikan akses.

  Struktur grup penegakan kebijakan biasanya dipengaruhi oleh kombinasi persyaratan kepatuhan dan struktur organisasi.

  Keanggotaan dalam grup penegakan kebijakan biasanya ditentukan oleh serangkaian aturan standar yang melihat tingkat izin, lokasi, atau peran pengguna dalam organisasi.

  Beberapa contoh grup penegakan kebijakan mencakup enforcement.users-in-restricted-locations, enforcement.fedramp-low, dan enforcement.sso-users.

  Grup penerapan hanya digunakan untuk menerapkan kebijakan pembatasan akses. IP ini tidak digunakan untuk tujuan komunikasi.

Beri nama grup Anda agar sesuai dengan jenisnya

Untuk membantu Anda mengikuti praktik terbaik di bagian lain dokumen ini, gunakan nama grup yang memungkinkan Anda menentukan jenis grup dari namanya. Anda dapat menggunakan konvensi penamaan atau domain sekunder.

Konvensi penamaan

Berikut adalah salah satu contoh konvensi penamaan untuk membuat jenis grup terlihat:

• Grup organisasi: org.GROUP_NAME@example.com. Contoh, org.finance-all@example.com.

• Grup kolaborasi: collab.TEAM_NAME@example.com. Contoh, collab.msmiths-team@example.com.

• Grup akses: access.JOB_FUNCTION@example.com. Contoh, access.billing-dashboard-users@example.com.

• Grup penegakan: enforcement.GROUP_DESCRIPTION@example.com. Contoh, enforcement.sso-users@example.com.

Gunakan konvensi yang sesuai untuk organisasi Anda dan didukung oleh software pengelolaan grup Anda. Penggunaan awalan akan mengurutkan grup Anda alfabetis berdasarkan fungsi, tetapi beberapa sistem pengelolaan grup, seperti Grup untuk Bisnis, hanya mendukung akhiran. Jika tidak dapat menggunakan awalan, Anda dapat menggunakan akhiran atau domain sekunder.

Domain sekunder

Sebagai alternatif untuk konvensi penamaan, Anda dapat menggunakan domain sekunder untuk menyematkan jenis grup ke dalam nama—misalnya, access.example.com. Domain sekunder yang merupakan subdomain dari domain terverifikasi tidak memerlukan verifikasi dan tidak perlu ada di DNS. Selain itu, dengan tidak membuat data Mail Exchange (MX) DNS untuk domain sekunder, Anda dapat memblokir email masuk agar tidak masuk ke grup yang tidak ditujukan untuk komunikasi.

Aturan bertingkat

Berbagai jenis grup memiliki aturan yang berbeda untuk menentukan apakah tingkat bertingkat (menerima grup sebagai anggota) diizinkan.

Aturan bertingkat untuk grup organisasi

Praktik terbaiknya adalah menyusun grup organisasi secara bertingkat untuk mencerminkan struktur organisasi Anda. Pendekatan ini berarti setiap karyawan disertakan dalam satu grup, lalu grup tersebut menyertakan satu sama lain. Misalnya, grup org.finance-all mungkin berisi grup org.finance-us, org.finance-germany, dan org.finance-australia sebagai anggota.

Anda dapat menambahkan grup organisasi ke jenis grup lainnya sebagai anggota. Tindakan ini jauh lebih mudah daripada harus menambahkan setiap anggota grup organisasi ke grup lain.

Jangan tambahkan jenis grup lain ke grup organisasi sebagai anggota. Jangan gunakan grup akses, penegakan, atau kolaborasi sebagai bagian dari hierarki organisasi.

Aturan bertingkat untuk grup kolaborasi

Setiap grup kolaborasi harus memiliki serangkaian kebijakan yang ditentukan dengan baik yang menentukan cara anggota ditambahkan. Jika dua grup kolaborasi mengikuti kebijakan keanggotaan yang sama, grup tersebut dapat disusun bertingkat. Namun, mengelompokkan grup kolaborasi dengan kebijakan keanggotaan yang berbeda dapat memungkinkan anggota yang tidak memenuhi kebijakan keanggotaan grup menjadi anggota. Tinjau kebijakan keanggotaan dengan cermat sebelum menyusun bertingkat grup kolaborasi.

Grup kolaborasi dapat memiliki grup organisasi sebagai anggota.

Aturan bertingkat untuk grup akses

Biasanya, Anda tidak boleh menyusun bertingkat grup akses. Menempatkan grup akses bertingkat dapat mempersulit penentuan siapa yang memiliki akses ke resource apa. Selain itu, menggabungkan grup akses dengan kebijakan akses yang berbeda dapat memungkinkan akun utama mengabaikan kebijakan keanggotaan grup akses yang ketat.

Grup akses dapat memiliki grup organisasi sebagai anggota.

Aturan bertingkat untuk grup penegakan kebijakan

Jangan membuat grup penerapan bertingkat. Memasukkan grup penerapan dapat mempersulit penentuan alasan akun utama ditolak aksesnya. Selain itu, pengelompokan grup penegakan dengan kebijakan keanggotaan yang berbeda dapat menyebabkan beberapa prinsipal terpengaruh oleh pembatasan yang tidak diinginkan.

Grup penegakan kebijakan dapat memiliki grup organisasi sebagai anggota.

Mengelola grup organisasi

Gunakan praktik terbaik berikut untuk mengelola grup organisasi Anda.

Penyediaan dari satu sumber tepercaya

Karena grup organisasi didasarkan pada data sumber daya manusia, sebaiknya pasok grup ini secara eksklusif dari sistem informasi sumber daya manusia atau dari sumber tepercaya eksternal—misalnya, penyedia identitas eksternal (IdP) atau sistem tata kelola identitas seperti Sailpoint, Okta, atau Entra ID.

Jangan izinkan perubahan grup

Jangan tambahkan atau hapus pengguna dari grup organisasi secara manual, dan jangan biarkan pengguna menghapus dirinya sendiri dari grup organisasi.

Menghindari penggunaan grup organisasi untuk memberikan akses ke resource

Semua pengguna dalam grup organisasi jarang memerlukan tingkat akses yang sama ke resource. Oleh karena itu, memberikan akses ke grup organisasi kemungkinan akan menyebabkan beberapa anggota grup memiliki lebih banyak akses daripada yang sebenarnya mereka butuhkan.

Selain itu, mungkin ada penundaan antara waktu perubahan dilakukan di IdP eksternal dan waktu perubahan tersebut diterapkan ke Cloud Identity, berdasarkan frekuensi sinkronisasi dari IdP eksternal ke Cloud Identity. Keterlambatan ini dapat menyebabkan proliferasi izin berlebih. Misalnya, hal ini dapat menyebabkan pemilik resource memberikan akses ke grup yang ada, bukan membuat grup baru, meskipun grup yang ada tersebut berisi orang yang tidak perlu mengakses resource.

Jika Anda harus memberikan akses menggunakan grup organisasi, tambahkan grup organisasi sebagai anggota ke grup akses, bukan memberikan akses secara langsung, dan hanya berikan peran dengan izin terbatas, seperti Pelihat Organisasi. Jika tidak, gunakan grup akses untuk memberikan akses ke resource.

Jangan izinkan akun layanan dan pengguna eksternal di grup organisasi

Jangan sertakan akun layanan dalam grup organisasi, karena akun tersebut tidak mewakili orang.

Pengguna eksternal—pengguna dari akun Google Workspace atau Cloud Identity yang berbeda—biasanya bukan bagian dari organisasi Anda, sehingga tidak ada alasan bagi mereka untuk menjadi anggota grup organisasi. Jika Anda melakukan aktivasi tenaga kerja eksternal ke akun Google Workspace atau Cloud Identity Anda sendiri, mereka akan dianggap sebagai pengguna internal, dan dapat disertakan dalam grup organisasi Anda.

Gunakan grup keamanan Cloud Identity dan batasan grup untuk menerapkan aturan ini.

Mengelola grup kolaborasi

Gunakan praktik terbaik berikut untuk mengelola grup kolaborasi Anda.

Menggunakan Grup untuk Bisnis guna mengelola grup kolaborasi

Jika menggunakan Google Workspace, Anda dapat menggunakan Grup untuk Bisnis untuk mengelola grup kolaborasi. Hal ini memungkinkan pengguna menggunakan Google Grup untuk membuat, menjelajahi, dan bergabung ke grup. Anda harus mengonfigurasi Grup untuk Bisnis agar pengguna dapat membuat grup kolaborasi baru.

Menonaktifkan Grup untuk Bisnis jika Anda tidak menggunakannya

Jika Anda menggunakan Cloud Identity, tetapi tidak menggunakan Google Workspace, tidak ada alasan untuk memiliki grup kolaborasi di Cloud Identity. Jadi, sebaiknya nonaktifkan Grup untuk Bisnis untuk mencegah pengguna membuat grup di Cloud Identity.

Memaksa akhiran untuk grup kolaborasi

Jika Anda menggunakan Grup untuk Bisnis, konfigurasikan untuk menerapkan akhiran. Hal ini sangat penting jika Anda mengizinkan semua orang membuat grup Grup untuk Bisnis baru.

Menerapkan akhiran akan mencegah pengguna membuat grup dengan nama yang sengaja bertentangan dengan grup akses atau grup organisasi yang akan disediakan dari sumber eksternal. Skenario ini dapat memungkinkan pencipta grup kolaborasi yang diberi nama palsu untuk mengeskalasikan hak istimewa mereka.

Jangan gunakan grup kolaborasi untuk kontrol akses

Grup kolaborasi dimaksudkan untuk memiliki kontrol akses yang longgar, dan biasanya tidak mengikuti siklus proses yang ditentukan dengan baik. Hal ini membuatnya cocok untuk kolaborasi, tetapi buruk untuk kontrol akses.

Jika telah mengikuti aturan penamaan untuk grup kolaborasi dengan ketat, Anda dapat membuat batasan kebijakan organisasi kustom untuk mencegah grup kolaborasi diberi peran IAM.

Demikian pula, jika Anda menyediakan dan mengelola grup kolaborasi secara eksternal, jangan sediakan grup tersebut ke Cloud Identity, yang akan memungkinkan grup tersebut disalahgunakan untuk tujuan kontrol akses.

Mengelola grup akses

Gunakan praktik terbaik berikut untuk mengelola grup akses Anda.

Memilih alat yang tepat untuk mengelola grup akses

Karena grup akses dikelola oleh pemilik beban kerja, gunakan alat yang sesuai untuk layanan mandiri. Alat Anda harus memungkinkan pengguna menemukan grup akses yang ada, dan menerapkan pembatasan keamanan yang menerapkan kontrol berikut:

• Siapa (anggota grup organisasi mana) yang memenuhi syarat untuk bergabung ke grup akses

• Persyaratan yang harus dipenuhi agar pengguna dapat bergabung ke grup

  Misalnya, apakah pengguna perlu memberikan justifikasi?

• Masa aktif maksimum untuk keanggotaan grup

• Apakah keanggotaan harus disetujui, dan oleh siapa

• Dukungan jejak audit

Salah satu alat yang sesuai dengan persyaratan ini adalah Grup JIT.

Menggunakan grup akses untuk membuat model fungsi pekerjaan dan memberikan akses ke resource

Buat grup akses untuk setiap fungsi tugas dan berikan akses ke semua resource yang diperlukan pengguna dalam fungsi tugas tersebut. Kemudian, Anda dapat menambahkan pengguna dalam fungsi tugas tersebut ke grup untuk memberi mereka akses yang diperlukan, bukan memberikan peran yang sama kepada setiap pengguna.

Anda dapat menggunakan satu grup akses untuk memberikan akses ke beberapa resource, atau bahkan beberapa project. Namun, pastikan setiap anggota grup memerlukan akses yang Anda berikan ke grup. Jika beberapa pengguna tidak memerlukan akses tambahan, buat grup akses baru dan berikan akses tambahan kepada grup tersebut.

Menggunakan grup akses untuk beban kerja tertentu

Menggunakan kembali grup akses untuk beberapa beban kerja akan menyebabkan kompleksitas izin dan administrasi yang berlebihan.

Menghapus hambatan untuk membuat grup akses bagi pemilik beban kerja

Untuk mengurangi godaan menggunakan kembali grup akses yang ada, buat grup akses mudah dibuat dan dikelola. Pemilik beban kerja harus dapat membuat grup akses secara mandiri, dengan dukungan untuk penamaan yang tepat.

Memberdayakan pengguna untuk menemukan dan bergabung dengan grup akses

Jika pengguna dapat menemukan grup akses yang ada dan bergabung dengan grup yang mereka butuhkan, mereka akan cenderung tidak mengumpulkan hak istimewa yang tidak diperlukan. Jika diperlukan, Anda dapat menggunakan proses undangan atau persetujuan untuk mengontrol siapa yang dapat bergabung ke grup.

Mengizinkan langganan berakhir secara otomatis secara default

Wajibkan pengguna untuk bergabung kembali ke grup akses atau memperpanjang langganan mereka setelah suatu jangka waktu. Praktik ini sengaja menambahkan hambatan untuk tetap menjadi anggota grup akses, dan menciptakan insentif untuk membiarkan keanggotaan yang tidak diperlukan berakhir. Praktik terbaik ini sangat penting untuk mencapai sasaran Zero Standing Privileges (ZSP), dan sangat penting bagi pengguna eksternal.

Namun, jangan terapkan aturan ini ke akun layanan karena menghapus akun layanan dari grup akses dapat menyebabkan gangguan layanan.

Memberikan pemilik yang ditetapkan untuk setiap grup

Setiap grup akses harus memiliki satu atau beberapa pemilik yang ditetapkan. Hal ini mendorong rasa tanggung jawab untuk keanggotaan grup. Pemilik dapat berupa orang atau tim yang sama dengan pemilik beban kerja yang terkait dengan grup.

Membatasi visibilitas grup akses

Jangan tampilkan grup akses di direktori Grup. (Grup tersebut harus dapat ditemukan di alat pengelolaan grup akses Anda.) Selain itu, hanya izinkan anggota grup untuk melihat siapa saja yang menjadi anggota. Praktik ini mencegah pihak tidak bertanggung jawab mendapatkan informasi berharga.

Membatasi anggota eksternal

Karena batasan kebijakan berbagi dengan batasan domain (DRS) berlaku untuk grup, tetapi tidak untuk anggota grup, grup akses yang mengizinkan anggota eksternal dapat membuat celah yang melemahkan DRS.

Gunakan grup keamanan Cloud Identity dan batasan grup untuk mengizinkan atau melarang anggota eksternal untuk grup akses. Selain itu, pertimbangkan untuk menggunakan konvensi penamaan khusus, seperti external.access.GROUP_NAME@example.com, untuk grup akses yang mengizinkan anggota eksternal.

Mengelola grup penegakan

Gunakan praktik terbaik berikut untuk mengelola grup penegakan kebijakan Anda.

Memilih alat yang tepat untuk mengelola grup penerapan

Karena keanggotaan dalam grup penegakan didasarkan pada aturan organisasi, dan digunakan untuk menerapkan batasan keamanan, jangan biarkan anggota memilih untuk tidak ikut atau menghapus diri mereka sendiri dari grup penegakan.

Dengan menggunakan grup dinamis, Anda dapat mengotomatiskan penyediaan grup penegakan. Jika Anda menggunakan IdP eksternal, gunakan grup dinamis yang disediakan oleh IdP, lalu sediakan ke Cloud Identity. Perlu diingat bahwa penggunaan IdP eksternal dapat menyebabkan penundaan pembaruan kebijakan.

Jika Anda tidak dapat menggunakan grup dinamis, pertimbangkan untuk menggunakan Terraform atau beberapa alat Infrastruktur sebagai Kode (IaC) lainnya untuk menyediakan grup penegakan kebijakan. Jika Anda menggunakan IaC untuk membuat grup penegakan, pastikan Anda tidak memberikan akses yang terlalu luas ke pipeline.

Menggunakan grup penerapan untuk kontrol autentikasi dan kontrol akses wajib

Gunakan grup akses untuk menerapkan kontrol akses wajib. Google Cloud mendukung kontrol akses wajib dengan sejumlah layanan dan alat, termasuk yang berikut:

• Kebijakan penolakan IAM
• Kebijakan batas akses akun utama IAM
• Penautan akses Chrome Enterprise Premium
• Penonaktifan layanan Google Workspace

Grup penerapan juga digunakan untuk menerapkan kontrol autentikasi seperti penetapan profil SAML atau Verifikasi 2 Langkah (2SV).

Karena semua kontrol ini membatasi fitur atau menghapus akses, grup penegakan adalah pilihan yang tepat.

Jangan izinkan pengguna keluar dari grup penegakan kebijakan

Mengizinkan pengguna keluar dari grup penegakan bertentangan dengan prinsip mandatory access control. Untuk melarang pengguna keluar dari grup, gunakan Groups Settings API untuk menetapkan properti whoCanLeaveGroup ke NONE_CAN_LEAVE.

Praktik terbaik untuk IdP eksternal

Jika Anda menggunakan IdP eksternal untuk autentikasi, sebaiknya Anda juga menggunakan IdP tersebut untuk menyediakan grup organisasi dan grup penerapan.

Menghindari penggunaan sumber eksternal untuk grup akses

Anda dapat mengelola grup akses di IdP eksternal dan menyediakannya ke Cloud Identity, tetapi ada beberapa kelemahan pada pendekatan ini:

• Penundaan penyediaan

  Diperlukan waktu hingga beberapa jam agar perubahan yang dibuat di IdP eksternal ditampilkan di grup akses.

• Risiko perbedaan

  Beberapa IdP tidak mengambil kontrol yang sah atas grup. Misalnya, mereka mungkin tidak menghapus grup di Cloud Identity setelah dihapus secara eksternal, atau secara aktif menghapus anggota grup yang ada di Cloud Identity, tetapi tidak ada di IdP.

  Divergensi dapat menyebabkan pengguna mempertahankan akses yang tidak mereka perlukan, dan memberi mereka informasi yang salah tentang siapa yang memiliki akses. Hal ini juga dapat memperlambat pembuatan grup akses.

Untuk menghindari masalah ini, gunakan IdP eksternal untuk menyediakan grup organisasi dan penegakan saja, serta gunakan alat seperti Grup JIT untuk mengelola grup akses secara langsung di Cloud Identity.

Menggunakan domain sekunder jika Anda memetakan grup berdasarkan nama

Cloud Identity mengidentifikasi grup berdasarkan alamat email, tetapi grup di IdP eksternal Anda mungkin tidak memiliki alamat email.

Banyak IdP memungkinkan Anda mengatasi hal ini dengan mengizinkan Anda memperoleh alamat email pseudo dari nama grup, seperti menggunakan my-group@example.com. Cara ini dapat dilakukan, tetapi dapat menyebabkan konflik jika alamat email ini sudah digunakan oleh grup atau pengguna lain. Dalam kasus terburuk, konflik penamaan ini dapat dieksploitasi oleh pelaku buruk untuk membuat grup keamanan yang menyamar sebagai jenis grup lain yang kurang diperiksa.

Untuk menghindari risiko konflik, gunakan domain sekunder khusus untuk grup yang Anda sediakan dari sumber eksternal, seperti groups.example.com.

Menghindari pemberian peran Admin Grup ke pipeline deployment

Jika Anda menggunakan IaC untuk mengelola grup (misalnya, Terraform), pipeline deployment Anda harus memiliki izin yang diperlukan untuk menyelesaikan tugasnya. Peran Admin Grup memberikan otorisasi pembuatan grup, tetapi juga memungkinkan akun utama dengan peran tersebut mengelola semua grup di akun Cloud Identity.

Anda dapat membatasi akses yang diberikan ke pipeline dengan membuat akun layanan hanya dengan satu izin (kemampuan untuk membuat grup), lalu dengan menjadikan pipeline sebagai pemilik grup apa pun yang dibuatnya. Hal ini memungkinkan pipeline tersebut mengelola grup apa pun yang dibuatnya, dan membuat lebih banyak grup, tanpa memberikan otorisasi untuk mengelola grup apa pun yang tidak dibuatnya.

Langkah-langkah berikut menguraikan pendekatan ini:

1. Buat peran admin kustom yang hanya menyertakan izin pembuatan grup Admin API.

   Berikan nama deskriptif untuk peran ini, seperti Pembuat Grup.

2. Buat akun layanan dan tetapkan peran Group Creator.

3. Gunakan akun layanan untuk pipeline Anda dan teruskan tanda WITH_INITIAL_OWNER saat pembuatan grup.

Gunakan Cloud Logging untuk mengaudit dan memantau grup Anda.

Logging memungkinkan Anda mengumpulkan, memantau, dan menganalisis aktivitas grup.

Mengaudit perubahan keanggotaan

Menambahkan atau menghapus anggota grup organisasi, grup akses, atau grup penegakan kebijakan dapat memengaruhi resource yang dapat diakses anggota, jadi penting untuk menyimpan pelacakan audit yang melacak perubahan ini.

Memerlukan justifikasi untuk bergabung dengan grup akses

Agar data pemantauan Anda lebih berguna, minta pengguna untuk memberikan alasan saat mereka bergabung ke grup, atau meminta untuk bergabung ke grup, dan catat alasan tersebut ke dalam log. Jika ada proses persetujuan, catat detail tentang siapa yang menyetujui permintaan tersebut.

Metadata tambahan ini nantinya dapat membantu Anda menganalisis alasan seseorang ditambahkan ke grup dan, secara luas, alasan mereka diberi akses ke resource tertentu.

Mengaktifkan berbagi log audit Cloud Identity

Konfigurasikan Cloud Identity untuk me-rutekan log ke Cloud Logging sehingga Anda dapat menangani log audit ini dengan cara yang sama seperti log Google Cloud lainnya, termasuk menyiapkan pemberitahuan atau menggunakan sistem Security Information and Event Management (SIEM) eksternal.