Di Identity and Access Management (IAM), Anda dapat mengontrol akses untuk akun utama. Akun utama mewakili satu atau beberapa identitas yang telah diautentikasi ke Google Cloud.
Menggunakan prinsipal dalam kebijakan Anda
Untuk menggunakan prinsipal dalam kebijakan Anda, lakukan hal berikut:
Konfigurasi identitas yang Google Cloud dapat dikenali. Mengonfigurasi identitas adalah proses pembuatan identitas yang Google Cloud dapat dikenali. Anda dapat mengonfigurasi identitas untuk pengguna dan untuk workload.
Untuk mempelajari cara mengonfigurasi identitas, lihat artikel berikut:
- Untuk mempelajari cara mengonfigurasi identitas bagi pengguna, lihat Identitas untuk pengguna.
- Untuk mempelajari cara mengonfigurasi identitas untuk workload, lihat Identitas untuk workload.
Tentukan ID utama yang akan Anda gunakan. ID prinsipal adalah cara Anda merujuk prinsipal dalam kebijakan. ID ini dapat merujuk pada satu identitas atau ke grup identitas.
Format yang Anda gunakan untuk ID utama bergantung pada hal berikut:
- Jenis prinsipal
- Jenis kebijakan yang ingin Anda gunakan untuk menyertakan akun utama
Untuk melihat format ID utama untuk setiap jenis utama di setiap jenis kebijakan, lihat ID utama.
Setelah mengetahui format ID, Anda dapat menentukan ID unik prinsipal berdasarkan atribut prinsipal, seperti alamat email prinsipal.
Sertakan ID akun utama dalam kebijakan Anda. Tambahkan akun utama Anda ke kebijakan Anda, dengan mengikuti format kebijakan.
Untuk mempelajari berbagai jenis kebijakan di IAM, lihat Jenis kebijakan.
Dukungan untuk jenis akun utama
Setiap jenis kebijakan IAM mendukung subset jenis prinsipal yang didukung IAM. Untuk melihat jenis akun utama yang didukung untuk setiap jenis kebijakan, lihat ID utama.
Jenis akun utama
Tabel berikut secara singkat menjelaskan berbagai jenis prinsipal yang didukung oleh IAM. Untuk mengetahui deskripsi mendetail dan contoh tampilan jenis prinsipal saat digunakan dalam kebijakan, klik nama jenis prinsipal dalam tabel.
| Jenis Utama: | Deskripsi | Satu akun utama atau kumpulan akun utama | Dikelola Google atau gabungan | Dukungan jenis kebijakan |
|---|---|---|---|---|
| Akun Google | Akun pengguna yang mewakili manusia yang berinteraksi dengan Google API dan layanan Google. | Pemilik tunggal | Dikelola oleh Google |
Jenis kebijakan berikut mendukung Akun Google:
Jenis kebijakan berikut tidak mendukung Akun Google:
|
| Akun layanan | Akun yang digunakan oleh workload mesin, bukan oleh pengguna. | Pemilik tunggal | Dikelola oleh Google |
Jenis kebijakan berikut mendukung akun layanan:
Jenis kebijakan berikut tidak mendukung akun layanan:
|
| Google grup | Kumpulan pengguna manusia atau mesin yang memiliki nama dan Akun Google. |
Set utama yang dapat berisi hal berikut:
|
Dikelola oleh Google |
Jenis kebijakan berikut mendukung grup Google:
Jenis kebijakan berikut tidak mendukung grup Google:
|
| Domain | Akun Google Workspace atau domain Cloud Identity yang mewakili grup virtual. Grup dapat berisi pengguna manusia dan akun layanan. |
Set akun utama yang dapat berisi jenis akun utama berikut:
|
Dikelola oleh Google |
Jenis kebijakan berikut mendukung domain:
|
allAuthenticatedUsers |
ID khusus yang mewakili semua akun layanan dan pengguna manusia di internet yang telah diautentikasi dengan Akun Google. |
Set akun utama yang dapat berisi jenis akun utama berikut:
|
Dikelola oleh Google |
Jenis kebijakan berikut mendukung
Jenis kebijakan berikut tidak mendukung
|
allUsers |
ID khusus yang mewakili siapa saja yang ada di internet—terautentikasi dan tidak terautentikasi. |
Set akun utama yang dapat berisi jenis akun utama berikut:
|
Keduanya |
Jenis kebijakan berikut mendukung
Jenis kebijakan berikut tidak mendukung
|
| Identitas tunggal dalam workforce identity pool | Pengguna manusia dengan identitas yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workforce Identity Federation. | Pemilik tunggal | Gabungan |
Jenis kebijakan berikut mendukung satu identitas dalam workforce identity pool:
|
| Sekumpulan principal dalam workforce identity pool | Sekumpulan pengguna manusia dengan identitas yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workforce Identity Federation. | Kumpulan akun utama yang berisi identitas tenaga kerja. | Gabungan |
Jenis kebijakan berikut mendukung sekumpulan prinsipal di workload identity pool:
|
| Principal tunggal dalam workload identity pool | Beban kerja (atau pengguna mesin) dengan identitas yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workload Identity Federation. | Pemilik tunggal | Gabungan |
Jenis kebijakan berikut mendukung satu prinsipal dalam workload identity pool:
|
| Sekumpulan principal di workload identity pool | Sekumpulan beban kerja (atau pengguna mesin) dengan identitas yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workload Identity Federation. | Kumpulan prinsipal yang berisi identitas workload | Gabungan |
Jenis kebijakan berikut mendukung sekumpulan prinsipal di workload identity pool:
|
| Sekumpulan Pod Google Kubernetes Engine | Workload (atau pengguna mesin) yang berjalan di dan difederasikan melalui GKE. | Kumpulan akun utama yang dapat berisi satu atau beberapa identitas workload gabungan | Gabungan |
Jenis kebijakan berikut mendukung pod GKE:
Jenis kebijakan berikut tidak mendukung pod GKE:
|
| Set utama Resource Manager | Sekumpulan pengguna manusia atau mesin yang terkait dengan Google Cloud resource seperti project, folder, dan organisasi. |
Set akun utama yang dapat berisi jenis akun utama berikut:
|
Keduanya |
Jenis kebijakan berikut mendukung set akun utama Resource Manager:
Jenis kebijakan berikut tidak mendukung set akun utama Resource Manager:
|
Bagian berikut menjelaskan jenis utama ini secara lebih mendetail.
Akun Google
Akun Google mewakili developer, administrator, atau orang lain
yang berinteraksi dengan Google Cloud menggunakan akun yang dibuat dengan
Google. Setiap alamat email yang terkait dengan Akun Google, yang juga disebut sebagai
akun pengguna terkelola, dapat digunakan sebagai prinsipal. Hal ini mencakup alamat email gmail.com
dan alamat email dengan domain lain.
Contoh berikut menunjukkan cara Anda dapat mengidentifikasi Akun Google dalam berbagai jenis kebijakan:
- Kebijakan izin:
user:alex@example.com - Kebijakan penolakan:
principal://goog/subject/alex@example.com
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Dalam kebijakan izinkan dan tolak Anda, alias email yang terkait dengan Akun Google atau akun pengguna terkelola akan otomatis diganti dengan alamat email utama. Artinya, kebijakan ini menampilkan alamat email utama pengguna saat Anda memberikan akses ke alias email.
Untuk mengetahui informasi selengkapnya tentang penyiapan Akun Google, lihat Akun Cloud Identity atau Google Workspace.
Akun layanan
Akun layanan adalah akun untuk workload aplikasi atau komputasi, bukan untuk pengguna akhir individu. Saat menjalankan kode yang dihosting di Google Cloud, Anda menentukan akun layanan yang akan digunakan sebagai identitas untuk aplikasi Anda. Anda dapat membuat akun layanan sebanyak yang diperlukan untuk mewakili berbagai komponen logis aplikasi Anda.
Contoh berikut menunjukkan cara mengidentifikasi akun layanan dalam berbagai jenis kebijakan:
- Kebijakan izin:
serviceAccount:my-service-account@my-project. - Kebijakan penolakan:
principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Untuk mengetahui informasi selengkapnya tentang akun layanan, lihat Ringkasan akun layanan.
Grup Google
Grup Google adalah kumpulan Akun Google yang memiliki nama. Setiap grup Google memiliki alamat email unik yang terkait dengan grup tersebut. Anda dapat menemukan alamat email yang terkait dengan grup Google dengan mengklik Tentang di halaman beranda grup Google mana pun. Untuk mengetahui informasi selengkapnya tentang Google Grup, lihat halaman beranda Google Grup.
Grup Google merupakan cara mudah untuk menerapkan kontrol akses ke kumpulan pokok. Anda dapat memberikan dan mengubah kontrol akses untuk seluruh grup sekaligus, sehingga tidak perlu memberikan atau mengubah kontrol akses satu per satu untuk setiap pengguna. Anda juga dapat menambahkan atau menghapus akun utama dari grup Google, bukan memperbarui kebijakan izin untuk menambahkan atau menghapus akun utama.
Grup Google tidak memiliki kredensial login, dan Anda tidak dapat menggunakan grup Google untuk membuat identitas agar dapat membuat permintaan untuk mengakses aset.
Contoh berikut menunjukkan cara mengidentifikasi grup Google dalam berbagai jenis kebijakan:
- Kebijakan izin:
group:my-group@example.com - Kebijakan penolakan:
principalSet://goog/group/my-group@example.com
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Untuk mempelajari lebih lanjut cara menggunakan grup untuk kontrol akses, lihat Praktik terbaik untuk menggunakan grup Google.
Domain
Domain dapat berupa akun Google Workspace atau domain Cloud Identity. Pada dasarnya, keduanya sama karena keduanya mewakili grup virtual dari semua Akun Google yang ada di dalamnya. Satu-satunya perbedaannya adalah pengguna domain Cloud Identity tidak memiliki akses ke aplikasi dan fitur Google Workspace.
Akun Google Workspace dan domain Cloud Identity dikaitkan dengan nama domain internet organisasi Anda, seperti example.com.
Saat Anda membuat Akun Google untuk pengguna baru, seperti username@example.com,
Akun Google tersebut akan ditambahkan ke grup virtual untuk akun
Google Workspace atau domain Cloud Identity Anda.
Seperti grup Google, domain tidak dapat digunakan untuk membuat identitas, tetapi memungkinkan pengelolaan izin yang mudah.
Contoh berikut menunjukkan cara Anda dapat mengidentifikasi domain dalam berbagai jenis kebijakan:
- Kebijakan izin:
domain:example.com - Kebijakan penolakan:
principalSet://goog/cloudIdentityCustomerId/C01Abc35 - Kebijakan batas akses utama:
//iam.googleapis.com/locations/global/workspace/C01Abc35
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Untuk mengetahui informasi selengkapnya tentang Cloud Identity, lihat Tentang Cloud Identity.
Dalam kebijakan izinkan dan tolak, domain sekunder akan otomatis diganti dengan domain primer. Artinya, kebijakan ini menampilkan domain primer saat Anda memberikan akses ke domain sekunder.
allAuthenticatedUsers
Nilai allAuthenticatedUsers adalah ID khusus yang mewakili semua
akun layanan dan semua pengguna di internet yang telah diautentikasi dengan
Akun Google. ID ini mencakup akun yang tidak terhubung ke
akun Google Workspace atau domain Cloud Identity, seperti
akun Gmail pribadi. Pengguna yang tidak diautentikasi, seperti pengunjung
anonim, tidak akan disertakan.
Jenis akun utama ini tidak mencakup identitas gabungan, yang dikelola oleh
penyedia identitas (IdP) eksternal. Jika Anda menggunakan
Workforce Identity Federation atau Workload Identity Federation,
jangan gunakan allAuthenticatedUsers. Sebagai gantinya, Anda dapat menggunakan salah satu jenis akun utama berikut:
- Untuk menyertakan pengguna dari semua IdP, gunakan
allUsers. - Untuk menyertakan pengguna dari IdP eksternal tertentu, gunakan ID untuk semua identitas dalam workforce identity pool atau semua identitas dalam workload identity pool.
Beberapa jenis resource tidak mendukung jenis akun utama ini.
allUsers
Nilai allUsers adalah ID khusus yang mewakili siapa saja yang ada di
internet, termasuk pengguna terautentikasi dan tidak terautentikasi.
Beberapa jenis resource tidak mendukung jenis akun utama ini.
Contoh berikut menunjukkan tampilan ID allUsers dalam berbagai jenis kebijakan:
- Kebijakan izinkan pada jenis resource yang didukung:
allUsers - Kebijakan penolakan:
principalSet://goog/public:all
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Identitas gabungan dalam workforce identity pool
Workforce identity pool adalah sekumpulan identitas pengguna yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workforce Identity Federation. Anda dapat mereferensikan prinsipal di kumpulan ini dengan cara berikut:
- Identitas tunggal dalam workforce identity pool
- Semua identitas workforce dalam grup tertentu
- Semua identitas workforce dengan nilai atribut tertentu
- Semua identitas dalam workforce identity pool
Contoh berikut menunjukkan cara mengidentifikasi kumpulan identitas tenaga kerja gabungan dalam berbagai jenis kebijakan:
- Satu prinsipal dalam kebijakan izin:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - Kumpulan akun utama dalam kebijakan penolakan:
principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com - Kebijakan batas akses utama:
//iam.googleapis.com/locations/global/workforcePools/example-workforce-pool
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Identitas gabungan dalam workload identity pool
Workload identity pool adalah sekumpulan identitas beban kerja yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workload Identity Federation. Anda dapat mereferensikan prinsipal di kumpulan ini dengan cara berikut:
- Satu identitas dalam workload identity pool
- Semua identitas beban kerja dalam grup tertentu
- Semua identitas beban kerja dengan nilai atribut tertentu
- Semua identitas dalam workload identity pool
Contoh berikut menunjukkan cara mengidentifikasi kumpulan identitas beban kerja gabungan dalam berbagai jenis kebijakan:
- Satu prinsipal dalam kebijakan izin:
principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com - Sekelompok akun utama dalam kebijakan penolakan:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com - Kebijakan batas akses utama:
//iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/example-workload-pool
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Pod GKE
Workload yang berjalan di GKE menggunakan Workload Identity Federation for GKE untuk mengakses Google Cloud layanan. Untuk mengetahui informasi selengkapnya tentang ID principal untuk Pod GKE, lihat Mereferensikan resource Kubernetes dalam kebijakan IAM.
Contoh berikut menunjukkan cara mengidentifikasi semua pod GKE dalam cluster tertentu dalam kebijakan izin:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Kumpulan utama Resource Manager
Setiap resource Resource Manager—project, folder, dan organisasi—dikaitkan dengan sekumpulan prinsipal. Saat membuat binding kebijakan batas akses akun utama, Anda dapat menggunakan set akun utama untuk resource Resource Manager guna mereferensikan semua akun utama yang terkait dengan resource tersebut.
Setiap akun utama untuk resource Resource Manager berisi akun utama berikut:
- Set akun utama project: Semua akun layanan dan workload identity pool dalam project yang ditentukan.
- Set akun utama folder: Semua akun layanan dan semua workload identity pool dalam project apa pun di folder yang ditentukan.
Kumpulan prinsipal organisasi: Berisi identitas berikut:
- Semua identitas di semua domain yang terkait dengan ID pelanggan Google Workspace Anda
- Semua workforce identity pool di organisasi Anda
- Semua akun layanan dan workload identity pool dalam project apa pun di organisasi
Contoh berikut menunjukkan cara mengidentifikasi set utama project dalam kebijakan batas akses utama untuk set utama project:
//cloudresourcemanager.googleapis.com/projects/example-project
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Langkah berikutnya
- Pelajari jenis kebijakan yang didukung IAM
- Memberi akun utama peran di project, folder, atau organisasi Resource Manager