Ringkasan kebijakan otorisasi

Kebijakan otorisasi menentukan aturan yang menentukan sumber traffic masuk dan operasi yang diizinkan atau dibatasi untuk sumber tersebut. Selain itu, kebijakan otorisasi menguraikan kondisi penerapan aturan dan menentukan tindakan untuk mengizinkan, menolak, atau mengevaluasi lebih lanjut traffic.

Kebijakan otorisasi memungkinkan Anda menetapkan pemeriksaan kontrol akses untuk traffic masuk ke Load Balancer Aplikasi. Permintaan yang lulus pemeriksaan ini akan dirutekan ke layanan backend. Permintaan yang gagal dalam pemeriksaan ini akan diakhiri dengan respons yang tidak sah.

Halaman ini memberikan ringkasan kebijakan otorisasi untuk Load Balancer Aplikasi berikut:

  • Load Balancer Aplikasi eksternal global
  • Load Balancer Aplikasi eksternal regional
  • Load Balancer Aplikasi internal lintas region
  • Load Balancer Aplikasi internal regional

Jika Anda ingin menggunakan kebijakan otorisasi untuk layanan yang di-deploy dengan Cloud Service Mesh, lihat Menyiapkan keamanan layanan dengan Envoy.

Komponen aturan kebijakan otorisasi

Aturan kebijakan otorisasi memiliki komponen berikut:

  • from: menentukan identitas klien yang diizinkan oleh aturan. Identitas dapat berasal dari sertifikat klien dalam koneksi TLS bersama, atau dapat berupa identitas standby yang terkait dengan VM klien, seperti dari akun layanan atau tag aman.
  • to: menentukan operasi yang diizinkan oleh aturan, seperti URL yang dapat diakses atau metode HTTP yang diizinkan.
  • when: memungkinkan Anda menentukan batasan tambahan yang harus dipenuhi. Anda dapat menggunakan ekspresi Common Expression Language (CEL) untuk menentukan batasan.
  • action: menentukan tindakan aturan. Dapat berupa salah satu dari ALLOW, DENY, atau CUSTOM.

Tindakan kebijakan otorisasi

Saat mengevaluasi permintaan, kebijakan otorisasi akan melakukan salah satu tindakan berikut:

  • ALLOW: memberikan akses ke resource yang diminta jika permintaan cocok dengan aturan yang ditentukan dalam kebijakan otorisasi. Kebijakan otorisasi memblokir akses ke resource yang diminta jika permintaan tidak cocok dengan aturan yang ditentukan dalam kebijakan otorisasi. Permintaan akan ditolak jika tidak cocok dengan kebijakan ALLOW, meskipun kebijakan lain mengizinkannya.

  • DENY: memblokir akses ke resource jika permintaan cocok dengan salah satu aturan yang ditentukan dalam kebijakan DENY. Kebijakan otorisasi memberikan akses ke resource yang diminta jika permintaan tidak cocok dengan aturan yang ditentukan dalam kebijakan otorisasi. Permintaan akan ditolak jika cocok dengan kebijakan DENY, meskipun kebijakan lain mengizinkannya.

  • CUSTOM: memungkinkan integrasi dengan sistem otorisasi eksternal untuk keputusan otorisasi yang kompleks. Tindakan CUSTOM digunakan untuk kebijakan yang menggunakan ekstensi layanan atau IAP untuk keputusan otorisasi.

Urutan evaluasi kebijakan otorisasi

Jika beberapa kebijakan otorisasi dikaitkan dengan satu resource, kebijakan tersebut akan dievaluasi dalam urutan berikut untuk menentukan apakah permintaan diizinkan atau ditolak.

  1. Kebijakan dengan tindakan CUSTOM: jika kebijakan CUSTOM menolak permintaan, permintaan akan segera ditolak. Kebijakan DENY atau ALLOW tidak dievaluasi, meskipun jika ada yang dikonfigurasi.

  2. Kebijakan dengan tindakan DENY: jika ada kebijakan DENY yang cocok dengan permintaan, permintaan akan ditolak. Kebijakan ALLOW apa pun tidak dievaluasi, meskipun ada yang dikonfigurasi.

  3. Kebijakan dengan tindakan ALLOW: jika tidak ada kebijakan ALLOW atau jika kebijakan ALLOW cocok dengan permintaan, permintaan akan diizinkan. Namun, jika tidak ada kebijakan ALLOW yang cocok dengan permintaan, permintaan akan ditolak.

Mendelegasikan keputusan otorisasi

Untuk keputusan otorisasi kompleks yang tidak dapat dinyatakan menggunakan kebijakan otorisasi, delegasikan keputusan otorisasi ke penyedia otorisasi kustom, seperti Identity-Aware Proxy (IAP), atau buat ekstensi otorisasi Anda sendiri yang dibuat menggunakan Ekstensi Layanan. Hal ini berguna saat Anda ingin menggunakan mesin otorisasi on-premise atau penyedia identitas pihak ketiga melalui IAP.

  • IAP: mengonfigurasi IAP untuk mengontrol akses ke aplikasi di balik aturan penerusan Load Balancer Aplikasi. IAP memverifikasi identitas dan konteks pengguna untuk menentukan akses. Layanan ini juga dapat mengautentikasi token akun layanan Identity and Access Management (IAM) dan mengevaluasi kebijakan IAM, yang melindungi akses ke bucket backend yang ditampilkan dari Application Load Balancer. Untuk mengetahui informasi selengkapnya, lihat Mendelegasikan otorisasi ke IAP dan IAM.

    Anda dapat memilih untuk mendelegasikan autentikasi ke IAP dan IAM dalam skenario berikut:

    • Gunakan IAM untuk pengelolaan izin.
    • Menerapkan Akses Kontekstual.
    • Gunakan autentikasi berbasis browser untuk aplikasi web yang memerlukan autentikasi interaktif.
  • Ekstensi Layanan: mendelegasikan keputusan otorisasi ke mesin otorisasi kustom Anda yang berjalan di instance VM Google Cloud atau di lokal. Hal ini memberikan fleksibilitas untuk kebijakan otorisasi yang kompleks yang tidak tercakup dalam kebijakan bawaan. Untuk informasi selengkapnya, lihat Mengonfigurasi ekstensi otorisasi.

Harga

Kebijakan otorisasi tidak dikenai biaya selama periode Pratinjau. Namun, Anda dikenai biaya jaringan saat menggunakan load balancer Google Cloud. Untuk mengetahui informasi harga, lihat Harga.

Langkah selanjutnya