Kontrol akses dengan IAM

Dokumen ini menjelaskan opsi kontrol akses untuk Pub/Sub Lite. Pub/Sub Lite menggunakan Identity and Access Management untuk kontrol akses.

Untuk memberi pengguna atau aplikasi akses ke resource Pub/Sub Lite, berikan setidaknya satu peran standar atau kustom kepada pengguna atau akun layanan yang digunakan aplikasi. Peran tersebut mencakup izin untuk melakukan tindakan tertentu pada resource Pub/Sub Lite.

Peran yang telah ditetapkan

Tabel berikut mencantumkan peran yang telah ditetapkan yang memberi Anda akses ke resource Pub/Sub Lite:

Peran	Judul	Deskripsi	Izin
`roles/pubsublite.admin`	Pub/Sub Lite Admin	Akses penuh ke topik Lite dan langganan Lite.	`pubsublite.*`
`roles/pubsublite.editor`	Pub/Sub Lite Editor	Mengubah topik Lite dan langganan Lite, memublikasikan pesan ke topik Lite, dan menerima pesan dari langganan Lite.	`pubsublite.*`
`roles/pubsublite.publisher`	Pub/Sub Lite Publisher	Publikasikan pesan ke topik Lite.	`pubsublite.topics.getPartitions` `pubsublite.topics.publish` `pubsublite.locations.openKafkaStream`
`roles/pubsublite.subscriber`	Pub/Sub Lite Subscriber	Terima pesan dari langganan Lite.	`pubsublite.operations.get` `pubsublite.subscriptions.getCursor` `pubsublite.subscriptions.seek` `pubsublite.subscriptions.setCursor` `pubsublite.subscriptions.subscribe` `pubsublite.topics.computeHeadCursor` `pubsublite.topics.computeMessageStats` `pubsublite.topics.computeTimeCursor` `pubsublite.topics.getPartitions` `pubsublite.topics.subscribe` `pubsublite.locations.openKafkaStream`
`roles/pubsublite.viewer`	Pub/Sub Lite Viewer	Lihat topik Lite dan langganan Lite.	`pubsublite.operations.get` `pubsublite.operations.list` `pubsublite.subscriptions.get` `pubsublite.subscriptions.getCursor` `pubsublite.subscriptions.list` `pubsublite.topics.get` `pubsublite.topics.getPartitions` `pubsublite.topics.list` `pubsublite.topics.listSubscriptions`

Peran khusus

Peran khusus dapat mencakup izin apa pun yang Anda tentukan. Anda dapat membuat peran kustom yang menyertakan izin untuk melakukan operasi administratif tertentu, seperti memperbarui topik Lite atau menghapus langganan Lite. Untuk membuat peran khusus, lihat Membuat dan mengelola peran khusus.

Tabel berikut mencantumkan contoh peran khusus:

Deskripsi	Izin
Membuat dan mengelola reservasi Lite.	`pubsublite.reservations.create` `pubsublite.reservations.update` `pubsublite.reservations.get` `pubsublite.reservations.list` `pubsublite.reservations.delete`
Membuat dan mengelola topik Lite.	`pubsublite.topics.create` `pubsublite.topics.update` `pubsublite.topics.get` `pubsublite.topics.getPartitions` `pubsublite.topics.list` `pubsublite.topics.listSubscriptions` `pubsublite.topics.delete`
Membuat dan mengelola langganan Lite.	`pubsublite.subscriptions.create` `pubsublite.topics.subscribe` `pubsublite.subscriptions.update` `pubsublite.subscriptions.get` `pubsublite.subscriptions.list` `pubsublite.subscriptions.delete`
Buat topik Lite dan langganan Lite.	`pubsublite.topics.create` `pubsublite.subscriptions.create` `pubsublite.topics.subscribe`
Mengubah topik Lite dan langganan Lite.	`pubsublite.topics.update` `pubsublite.subscriptions.update`
Hapus topik Lite dan langganan Lite.	`pubsublite.topics.delete` `pubsublite.subscriptions.delete`

Pemberian peran

Anda dapat memberikan peran untuk mengakses resource Pub/Sub Lite di level project. Misalnya, Anda dapat memberi akun layanan akses untuk melihat topik Lite apa pun dalam sebuah project, tetapi tidak dapat memberi akun layanan akses untuk melihat satu topik Lite.

Untuk memberikan peran pada suatu project, Anda dapat menggunakan Konsol Google Cloud atau Google Cloud CLI.

Konsol

Untuk memberikan peran kepada pengguna, akun layanan, atau anggota lainnya, ikuti langkah-langkah berikut:

Di Konsol Google Cloud, buka halaman IAM.

Buka IAM

Klik Tambahkan.
Masukkan alamat email pengguna, akun layanan, atau anggota lainnya.
Pilih peran.
Klik Simpan.

gcloud

Untuk memberikan peran kepada pengguna, akun layanan, atau anggota lain, jalankan perintah gcloud projects add-iam-policy-binding:

gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=ROLE_ID

Ganti kode berikut:

MEMBER: ID untuk anggota, seperti serviceAccount:test123@example.domain.com
ROLE_ID: nama peran bawaan atau khusus

Anda juga bisa mendapatkan file JSON atau YAML dengan kebijakan IAM saat ini, menambahkan beberapa peran atau anggota ke file tersebut, lalu memperbarui kebijakan. Untuk membaca dan mengelola kebijakan, gunakan Google Cloud CLI, IAM API, atau IAM. Untuk mengetahui detailnya, lihat Mengontrol akses secara terprogram.

Langkah selanjutnya

Dapatkan ringkasan IAM.
Lihat metode autentikasi yang didukung Pub/Sub Lite.
Pelajari lebih lanjut cara mengelola akses ke resource.