Identity and Access Management (IAM) menawarkan beberapa jenis kebijakan untuk membantu Anda mengontrol resource yang dapat diakses akun utama. Halaman ini membantu Anda memahami perbedaan antara cara Anda menggunakan dan mengelola jenis kebijakan ini.
Jenis kebijakan IAM
IAM menawarkan jenis kebijakan berikut:
- Kebijakan izin
- Kebijakan tolak
- Kebijakan batas akses akun utama (PAB)
Tabel berikut merangkum perbedaan antara jenis kebijakan ini:
Kebijakan | Fungsi kebijakan | API yang digunakan untuk mengelola kebijakan | Hubungan antara kebijakan dan target | Metode untuk melampirkan kebijakan ke target | Resource induk kebijakan |
---|---|---|---|---|---|
Kebijakan izin | Memberikan akses ke resource kepada akun utama | API untuk resource yang ingin Anda kelola kebijakan izinnya |
Hubungan one-to-one Setiap kebijakan izin dilampirkan ke satu resource; setiap resource hanya dapat memiliki satu kebijakan izin |
Menentukan resource saat membuat kebijakan | Sama seperti resource tempat kebijakan izin dilampirkan |
Kebijakan tolak | Memastikan akun utama tidak dapat menggunakan izin tertentu | IAM v2 API |
Hubungan one-to-many Setiap kebijakan tolak dilampirkan ke satu resource; setiap resource dapat memiliki hingga 500 kebijakan tolak |
Menentukan resource saat membuat kebijakan penolakan | Sama seperti resource yang dilampirkan ke kebijakan tolak |
Kebijakan PAB | Membatasi resource yang dapat diakses akun utama | IAM v3 API |
Hubungan many-to-many Setiap kebijakan PAB dapat dilampirkan ke sejumlah kumpulan akun utama yang tidak terbatas; setiap kumpulan akun utama dapat memiliki hingga 10 kebijakan PAB yang terikat dengannya |
Membuat binding kebijakan yang melampirkan kebijakan PAB ke kumpulan akun utama | Organisasi |
Bagian berikut memberikan detail tentang setiap jenis kebijakan.
Kebijakan untuk memberikan akses ke akun utama
Untuk memberikan akses ke resource kepada akun utama, gunakan kebijakan izinkan IAM.
Kebijakan izinkan memungkinkan Anda memberikan akses ke resource di Google Cloud. Kebijakan izin terdiri dari binding peran dan metadata. Binding peran menentukan akun utama mana yang harus memiliki peran tertentu pada resource.
Kebijakan izin selalu dilampirkan ke satu resource. Setelah Anda melampirkan kebijakan izin ke resource, kebijakan tersebut akan diwarisi oleh turunan resource tersebut.
Untuk membuat dan menerapkan kebijakan izin, Anda mengidentifikasi resource yang menerima kebijakan izin, lalu menggunakan metode setIamPolicy
resource tersebut untuk membuat kebijakan izin. Semua akun utama dalam kebijakan izin
diberikan peran yang ditentukan pada resource dan semua turunan
resource. Setiap resource hanya dapat memiliki satu kebijakan izin yang dilampirkan.
Untuk informasi selengkapnya tentang kebijakan izin, lihat Memahami kebijakan izin.
Kebijakan untuk menolak akses ke akun utama
Untuk menolak akses akun utama ke resource, gunakan kebijakan tolak IAM. Kebijakan penolakan IAM tersedia di IAM v2 API.
Kebijakan tolak, seperti kebijakan izin, selalu dilampirkan ke satu resource. Anda dapat melampirkan kebijakan tolak ke project, folder, atau organisasi. Project, folder, atau organisasi ini juga bertindak sebagai induk kebijakan dalam hierarki resource. Setelah Anda melampirkan kebijakan tolak ke resource, kebijakan tersebut diwariskan oleh turunan resource tersebut.
Untuk membuat dan menerapkan kebijakan penolakan, Anda menggunakan IAM v2 API. Saat membuat kebijakan penolakan, Anda menentukan resource yang terkait dengan kebijakan penolakan. Semua akun utama dalam kebijakan tolak dicegah untuk menggunakan izin yang ditentukan guna mengakses resource tersebut dan salah satu turunan resource tersebut. Setiap resource dapat memiliki hingga 500 kebijakan tolak yang dilampirkan.
Untuk mengetahui informasi selengkapnya tentang kebijakan penolakan, lihat Kebijakan penolakan.
Kebijakan untuk membatasi resource yang dapat diakses akun utama
Untuk membatasi resource yang dapat diakses akun utama, gunakan kebijakan batas akses akun utama. Kebijakan batas akses akun utama tersedia di IAM v3 API.
Untuk membuat dan menerapkan kebijakan batas akses akun utama, Anda membuat kebijakan batas akses akun utama, lalu membuat binding kebijakan untuk menghubungkan kebijakan tersebut ke kumpulan akun utama.
Kebijakan batas akses akun utama selalu merupakan turunan dari organisasi Anda. Binding kebijakan untuk kebijakan batas akses akun utama adalah turunan dari project, folder, atau organisasi yang paling dekat dengan akun utama yang ditetapkan dalam binding kebijakan.
Setiap binding kebijakan mengikat satu kebijakan batas akses akun utama ke satu kumpulan akun utama. Kebijakan batas akses akun utama dapat terikat ke sejumlah set akun utama. Setiap kumpulan akun utama dapat memiliki hingga 10 kebijakan batas akses utama yang terikat. Saat kebijakan batas akses akun utama dihapus, semua pengikatan kebijakan yang terkait dengan kebijakan tersebut juga akan dihapus.
Untuk informasi selengkapnya tentang kebijakan batas akses akun utama, lihat Kebijakan batas akses akun utama.
Evaluasi kebijakan
Saat akun utama mencoba mengakses resource, IAM mengevaluasi semua kebijakan batas akses izin, tolak, dan akun utama yang relevan untuk melihat apakah akun utama diizinkan untuk mengakses resource. Jika salah satu kebijakan ini menunjukkan bahwa akun utama tidak boleh mengakses resource, IAM akan mencegah akses.
Pada kenyataannya, IAM mengevaluasi semua jenis kebijakan secara bersamaan, lalu mengompilasi hasilnya untuk menentukan apakah akun utama dapat mengakses resource. Namun, sebaiknya pertimbangkan evaluasi kebijakan ini yang berlangsung dalam tahap berikut:
-
IAM memeriksa semua kebijakan batas akses akun utama yang relevan untuk melihat apakah akun utama memenuhi syarat untuk mengakses resource. Kebijakan batas akses akun utama relevan jika hal berikut berlaku:
- Kebijakan terikat ke kumpulan akun utama yang menyertakan akun utama
- Kebijakan batas akses akun utama memblokir izin yang coba digunakan akun utama. Izin yang diblokir oleh kebijakan batas akses akun utama bergantung pada versi kebijakan batas akses akun utama. Anda menentukan versi kebijakan saat membuat kebijakan batas akses akun utama. Untuk mengetahui informasi selengkapnya, lihat Versi kebijakan batas akses akun utama.
Setelah memeriksa kebijakan batas akses akun utama yang relevan, IAM akan melakukan salah satu hal berikut:
- Jika kebijakan batas akses akun utama yang relevan tidak menyertakan resource yang coba diakses akun utama, IAM akan mencegahnya mengakses resource tersebut.
- Jika kebijakan batas akses akun utama yang relevan menyertakan resource yang coba diakses oleh akun utama, IAM akan melanjutkan ke langkah berikutnya.
- Jika tidak ada kebijakan batas akses akun utama yang relevan, atau jika IAM tidak dapat mengevaluasi kebijakan batas akses akun utama yang relevan, maka IAM akan melanjutkan ke langkah berikutnya.
-
IAM memeriksa semua kebijakan tolak yang relevan untuk melihat apakah akun utama telah ditolak izinnya. Kebijakan tolak yang relevan adalah kebijakan tolak yang dilampirkan ke resource, serta semua kebijakan tolak yang diwariskan.
- Jika salah satu dari kebijakan tolak ini mencegah akun utama menggunakan izin yang diperlukan, IAM akan mencegah akun utama mengakses resource.
- Jika tidak ada kebijakan tolak yang mencegah akun utama menggunakan izin yang diperlukan, IAM akan melanjutkan ke langkah berikutnya.
-
IAM memeriksa semua kebijakan izin yang relevan untuk melihat apakah akun utama memiliki izin yang diperlukan. Kebijakan izin yang relevan adalah kebijakan izin yang dilampirkan ke resource, serta semua kebijakan izin yang diwariskan.
- Jika akun utama tidak memiliki izin yang diperlukan, IAM akan mencegahnya mengakses resource.
- Jika akun utama memiliki izin yang diperlukan, IAM akan mengizinkan akun tersebut mengakses resource.
Diagram berikut menunjukkan alur evaluasi kebijakan ini:
Langkah selanjutnya
- Pelajari lebih lanjut tentang kebijakan izin.
- Pelajari kebijakan tolak lebih lanjut.
- Pelajari lebih lanjut kebijakan batas akses akun utama.