Google Cloud menawarkan Identity and Access Management (IAM), yang memungkinkan Anda memberikan akses yang lebih terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip keamanan dengan hak istimewa terendah, sehingga Anda hanya memberikan akses yang diperlukan ke resource Anda.
Dengan IAM, Anda dapat mengontrol siapa (pengguna) yang memiliki akses (peran) ke resource tertentu dengan menetapkan kebijakan IAM. Kebijakan IAM memberikan peran tertentu kepada pengguna untuk memberikan izin tertentu kepada pengguna.
Halaman ini menjelaskan peran IAM yang tersedia di tingkat resource organisasi, dan cara membuat serta mengelola kebijakan IAM untuk resource organisasi menggunakan Cloud Resource Manager API. Untuk penjelasan lengkap tentang IAM, baca dokumentasi IAM. Secara khusus, lihat Memberikan, Mengubah, dan Mencabut Akses.
Izin dan peran
Untuk mengontrol akses ke resource, Google Cloud mewajibkan akun yang membuat permintaan API memiliki peran IAM yang sesuai. Peran IAM mencakup izin yang memungkinkan pengguna melakukan tindakan tertentu pada resource Google Cloud. Misalnya, izin resourcemanager.organizations.get
memungkinkan pengguna mendapatkan detail
tentang resource organisasi mereka.
Anda tidak secara langsung memberikan izin kepada pengguna; tetapi, Anda memberikan peran kepada pengguna, yang memiliki satu atau beberapa izin yang dipaketkan di dalamnya.
Anda dapat memberikan satu atau beberapa peran pada resource yang sama.
Menggunakan peran bawaan
Tabel berikut mencantumkan peran yang dapat Anda berikan untuk mengakses properti resource organisasi, deskripsi fungsi peran tersebut, dan izin yang dipaketkan dalam peran tersebut.
Peran | Izin |
---|---|
Organization Administrator( Akses untuk mengelola kebijakan IAM dan melihat kebijakan organisasi untuk organisasi, folder, dan project. Resource tingkat terendah yang dapat Anda beri peran ini:
|
|
Organization Viewer( Memberikan akses untuk melihat organisasi. Resource tingkat terendah yang dapat Anda beri peran ini:
|
|
Organization Policy Administrator( Memberikan akses untuk menentukan batasan yang ingin diterapkan oleh organisasi pada konfigurasi resource cloud dengan menetapkan Kebijakan Organisasi. Resource tingkat terendah yang dapat Anda beri peran ini:
|
|
Browser( Akses baca untuk menelusuri hierarki dalam suatu project, termasuk folder, organisasi, dan kebijakan izin. Peran ini tidak termasuk izin untuk melihat resource dalam project. Resource tingkat terendah yang dapat Anda beri peran ini:
|
|
Membuat peran khusus
Selain peran yang telah ditetapkan yang dijelaskan dalam topik ini, Anda juga dapat membuat peran khusus yang merupakan kumpulan izin yang dapat disesuaikan dengan kebutuhan Anda. Saat membuat peran khusus untuk digunakan dengan Resource Manager, perhatikan hal-hal berikut:- Menampilkan dan mendapatkan izin, seperti
resourcemanager.projects.get/list
, harus selalu diberikan sebagai pasangan. - Saat peran khusus Anda menyertakan izin
folders.list
danfolders.get
, peran khusus tersebut juga harus menyertakanprojects.list
danprojects.get
. - Perlu diketahui bahwa izin
setIamPolicy
untuk organisasi, folder, dan resource project memungkinkan pengguna memberikan semua izin lain, sehingga harus diberikan dengan hati-hati.
Melihat akses yang ada untuk resource organisasi
Anda dapat melihat peran yang diberikan kepada pengguna untuk resource organisasi dengan mendapatkan kebijakan IAM level resource organisasi. Anda dapat melihat kebijakan resource organisasi menggunakan Google Cloud Console, Google Cloud CLI, atau metode getIamPolicy()
.
Konsol
Untuk melihat peran yang diberikan pada level resource organisasi menggunakan Konsol Google Cloud:
Buka halaman Manage resources di Konsol Google Cloud:
Di menu drop-down Organization, pilih resource organisasi Anda.
Centang kotak untuk resource organisasi.
Di sebelah kanan Panel Info, di bagian Izin, klik untuk meluaskan peran dan menampilkan semua anggota yang memiliki peran tersebut.
gcloud
Dapatkan kebijakan IAM untuk resource organisasi menggunakan perintah get-iam-policy:
gcloud alpha organizations get-iam-policy [ORGANIZATION_ID] --format json >
[FILENAME.JSON]
Perintah menghasilkan kebijakan, yang serupa dengan berikut ini:
bindings:
- members:
- user:testuser1@gcp-test.com
role: roles/editor
- members:
- user:admin@gcp-test.com
role:roles/resourcemanager.organizationAdmin
- members:
- user:testuser2@gcp-test.com
role: roles/resourcemanager.projectCreator
etag": "BwU1aRxWk30="
API
Cuplikan kode berikut menampilkan kebijakan untuk resource organisasi
https://cloudresourcemanager.googleapis.com/v3/organizations/12345
.
Permintaan:
POST
https://cloudresourcemanager.googleapis.com/v3/organizations/12345:getIamPolicy
Respons:
{
"bindings": [
{
"role": "roles/resourcemanager.organizationAdmin",
"members": [
"user:email1@gmail.com"
]
},
{
"role": "roles/resourcemanager.projectCreator",
"members": [
"user:email2@gmail.com",
"user:email3@gmail.com",
"serviceAccount:my-other-app@appspot.gserviceaccount.com"
]
}
]
"etag": "BwUjHYKHHiQ="
}
Python
Metode
getIamPolicy()
memungkinkan Anda mendapatkan kebijakan yang telah ditetapkan sebelumnya.
crm = discovery.build(
'cloudresourcemanager', 'v3', http=creds.authorize(httplib2.Http()))
policy = crm.organizations().getIamPolicy(
resource=flags.organizationId, body={}).execute()
print json.dumps(policy, indent=2)
Memberikan akses ke resource organisasi
Administrator Organisasi dapat memberikan peran IAM kepada anggota tim
agar mereka dapat mengakses resource dan API organisasi. Anda dapat memberikan peran ke email Akun Google, Google Grup, akun layanan, atau domain G Suite. Anda dapat menggunakan Konsol Google Cloud, gcloud CLI, atau metode setIamPolicy()
untuk memberikan peran.
Konsol
Untuk menyetel kontrol akses di level resource organisasi menggunakan Konsol Google Cloud:
Buka halaman Manage resources di Konsol Google Cloud:
Di menu drop-down Organization, pilih resource organisasi Anda.
Centang kotak untuk resource organisasi. Jika Anda tidak memiliki resource Folder, resource organisasi tidak akan terlihat. Untuk melanjutkan, lihat petunjuk untuk memberikan peran melalui halaman IAM.
Jika Panel Info di sebelah kanan disembunyikan, klik Tampilkan Panel Info di sudut kanan atas.
Di Panel Info, pada tab Izin, klik Tambahkan Anggota.
Di kolom Anggota baru, masukkan anggota tim yang ingin ditambahkan. Anda dapat menetapkan email Akun Google, Grup Google, akun layanan, atau domain G Suite.
Di menu drop-down Pilih peran, pilih peran yang ingin diberikan kepada anggota tim.
Klik Tambahkan.
gcloud
Untuk menetapkan kebijakan IAM resource organisasi menggunakan perintah gcloud
:
Dapatkan kebijakan IAM untuk resource organisasi menggunakan perintah
get-iam-policy
dan output kebijakan ke file JSON:gcloud alpha organizations get-iam-policy [ORGANIZATION_ID] --format json > [FILENAME.JSON]
Isi file JSON akan terlihat seperti berikut:
{ "bindings": [ { "members": [ "user:testuser1@gcp-test.com" ], "role": "roles/editor" }, { "members": [ "user:admin@gcp-test.com", ], "role": "roles/resourcemanager.organizationAdmin" }, { "members": [ "user:testuser2@gcp-test.com" ], "role": "roles/resourcemanager.projectCreator" }, ], "etag": "BwU1aRxWk30=" }
Dengan menggunakan editor teks, buka file JSON dan tambahkan entri baru ke array binding yang menentukan Administrator Organisasi. Misalnya untuk menjadikan
anotheradmin@gcp-test.com
sebagai Administrator Organisasi, Anda akan mengubah contoh yang ditampilkan di atas sebagai berikut:{ "bindings": [ { "members": [ "user:testuser1@gcp-test.com" ], "role": "roles/editor" }, { "members": [ "user:admin@gcp-test.com", "user:anotheradmin@gcp-test.com" ], "role": "roles/resourcemanager.organizationAdmin" }, { "members": [ "user:testuser20@gcp-test.com" ], "role": "roles/resourcemanager.projectCreator" }, ], "etag": "BwU1aRxWk30=" }
Perbarui kebijakan resource organisasi dengan menjalankan perintah berikut:
gcloud alpha organizations set-iam-policy [ORGANIZATION_ID] policy.json
API
Permintaan:
POST https://cloudresourcemanager.googleapis.com/v3/organizations/12345:setIamPolicy
{
"policy": {
"version": "0",
"bindings": [
{
"role": "roles/resourcemanager.organizationAdmin",
"members": [
"user:email1@gmail.com"
]
},
{
"role": "roles/resourcemanager.projectCreator",
"members": [
"user:email2@gmail.com",
"user:email3@gmail.com",
"serviceAccount:my-other-app@appspot.gserviceaccount.com"
]
}
]
"etag": "BwUjHYKHHiQ="
}
}
Respons:
{
"bindings": [
{
"role": "roles/resourcemanager.organizationAdmin",
"members": [
"user:email1@gmail.com"
]
},
{
"role": "roles/resourcemanager.projectCreator",
"members": [
"user:email2@gmail.com",
"user:email3@gmail.com",
"serviceAccount:my-other-app@appspot.gserviceaccount.com"
]
}
]
"etag": "BwUjHYKJUiQ="
}
Metode setIamPolicy()
memungkinkan Anda memberikan peran kepada pengguna dengan melampirkan kebijakan IAM ke resource organisasi. Kebijakan IAM adalah kumpulan pernyataan yang menentukan siapa yang memiliki akses tertentu.
Read-Modify-Write: Pola umum untuk mengupdate metadata resource, seperti Policy adalah untuk membaca statusnya saat ini, mengupdate data secara lokal, lalu mengirim data yang telah diubah untuk ditulis. Pola ini dapat mengakibatkan konflik jika dua atau beberapa proses independen mencoba urutan secara bersamaan. Misalnya, ada dua pemilik untuk sebuah project dan keduanya mencoba membuat perubahan yang bertentangan pada kebijakan secara bersamaan. Perubahan yang dilakukan oleh salah satu pemilik project dapat gagal dalam beberapa kasus. IAM mengatasi masalah ini menggunakan properti etag dalam kebijakan IAM. Properti ini digunakan untuk memverifikasi apakah kebijakan telah berubah sejak permintaan terakhir. Saat Anda membuat permintaan ke IAM dengan nilai etag, IAM membandingkan nilai etag dalam permintaan dengan nilai etag yang ada yang terkait dengan kebijakan. Kode ini menulis kebijakan hanya jika nilai etag cocok.
Saat Anda memperbarui kebijakan, dapatkan kebijakan menggunakan getIamPolicy()
terlebih dahulu,
perbarui kebijakan, lalu tulis kebijakan yang diperbarui menggunakan setIamPolicy()
.
Gunakan nilai etag saat menetapkan kebijakan hanya jika kebijakan yang sesuai
di GetPolicyResponse
berisi nilai etag.
Python
Metode
setIamPolicy()
memungkinkan Anda melampirkan kebijakan ke resource. Metode setIamPolicy
mengambil
SetIamPolicyRequest
, yang berisi kebijakan yang akan ditetapkan dan resource tempat
kebijakan dilampirkan. Metode ini menampilkan kebijakan yang dihasilkan. Sebaiknya
ikuti pola read-modify-write
saat mengupdate kebijakan menggunakan setIamPolicy()
.
Berikut adalah beberapa kode contoh untuk menetapkan kebijakan resource organisasi:
crm = discovery.build(
'cloudresourcemanager', 'v3', http=creds.authorize(httplib2.Http()))
policy = crm.organizations().getIamPolicy(
resource=flags.organizationId, body={}).execute()
admin_binding = next(
(binding
for binding in policy['bindings']
if binding['role'] == 'roles/resourcemanager.organizationAdmin'),
None)
# Add an empty Organization Administrator binding if not present.
if not admin_binding:
admin_binding = {
'role': 'roles/resourcemanager.organizationAdmin',
'members': []
}
policy['bindings'].append(admin_binding)
# Add the new Admin (if necessary).
new_admin = 'user:' + flags.adminEmail
if new_admin not in admin_binding['members']:
admin_binding['members'].append(new_admin)
policy = crm.organizations().setIamPolicy(
resource=flags.organizationId,
body={
'resource': flags.organizationId,
'policy': policy
}).execute()
print json.dumps(policy, indent=2)
Membatasi visibilitas project bagi pengguna
Pengguna dapat melihat semua project yang aksesnya mereka miliki di Konsol Google Cloud dan di kueri penelusuran, terlepas dari apakah project tersebut berada di resource organisasi yang saat ini dipilih atau tidak. Anda dapat menggunakan Organization Policy Service untuk membatasi kumpulan project yang ditampilkan dalam kueri dan di Konsol Google Cloud. Hal ini dapat digunakan untuk membatasi pengguna agar hanya melihat project dalam domain Anda sendiri.
Batasan Kebijakan Organisasi constraints/resourcemanager.accessBoundaries
adalah batasan daftar yang diterapkan pada resource organisasi Anda. Batasan ini menerima daftar
ID resource organisasi, yang menentukan kumpulan resource organisasi yang
membuat resource-nya terlihat oleh pengguna dalam kueri atau konsol Google Cloud.
Project muncul di bagian No organization
jika pengguna tidak memiliki izin resourcemanager.organizations.get
di resource organisasi induk project tersebut. Hal ini dapat membuat project yang bukan bagian
dari resource organisasi Anda tidak dikaitkan dengan resource organisasi
sama sekali. Jika Anda menggunakan batasan resourcemanager.accessBoundaries
untuk melarang resource organisasi, project yang termasuk dalam resource organisasi tersebut tidak akan muncul sama sekali dalam kueri atau di Konsol Google Cloud. Setiap project yang
belum dimigrasikan ke resource organisasi tidak akan terlihat jika
batasan ini diterapkan.
Sebaiknya migrasikan project yang berada di bawah No organization
ke resource organisasi Anda sebelum menerapkan batasan ini. Untuk mengetahui informasi tentang
memigrasikan project ke resource organisasi, lihat
Memindahkan project.
Untuk informasi tentang menetapkan kebijakan organisasi, lihat Menggunakan batasan.
Menguji izin
Anda dapat menguji izin IAM pada pengguna untuk resource organisasi dengan metode testIamPermissions()
. Metode ini mengambil URL resource dan sekumpulan izin yang ingin Anda
uji sebagai parameter input, serta menampilkan subset izin ini yang
dapat diakses pengguna.
Anda biasanya tidak memanggil testIamPermission()
jika menggunakan Konsol Google Cloud secara langsung untuk mengelola izin. testIamPermissions()
dimaksudkan untuk diintegrasikan dengan software eksklusif Anda, seperti antarmuka pengguna grafis yang disesuaikan. Misalnya, Konsol Google Cloud menggunakan testIamPermissions()
secara internal untuk menentukan UI mana yang harus tersedia bagi pengguna yang login.
API
Anda dapat menggunakan metode testIamPermissions()
untuk memeriksa izin mana yang diberikan oleh pemanggil untuk resource tertentu. Metode ini mengambil nama resource dan sekumpulan izin sebagai
parameter, serta menampilkan subset izin yang dimiliki pemanggil.
Berikut ini beberapa kode contoh untuk menguji izin bagi resource organisasi:
Request:
POST https://cloudresourcemanager.googleapis.com/v3/organizations/12345:testIamPermissions
{
"permissions": [
"resourcemanager.organizations.get",
"resourcemanager.organizations.setIamPolicy"
]
}
Response:
{
"permissions": [
"resourcemanager.organizations.get"
]
}
Python
crm = discovery.build(
'cloudresourcemanager', 'v3', http=creds.authorize(httplib2.Http()))
response = crm.organizations().testIamPermissions(
resource=flags.organizationId,
body={
'resource': flags.organizationId,
'permissions': [
'resourcemanager.organizations.setIamPolicy',
'resourcemanager.projects.patch'
]
}).execute()
print json.dumps(response, indent=2)