Membuat instance Secure Source Manager untuk digunakan dengan identitas gabungan

Dokumen ini menjelaskan cara membuat instance Secure Source Manager menggunakan Workforce Identity Federation untuk digunakan dengan penyedia identitas (IdP) eksternal.

Untuk mengetahui informasi selengkapnya tentang Workforce Identity Federation, lihat Workforce Identity Federation.

Untuk mengetahui informasi tentang batasan pada Workforce Identity Federation di Secure Source Manager, lihat Federasi identitas: produk dan batasan.

Secure Source Manager adalah layanan tenant tunggal. Satu instance Secure Source Manager hanya boleh menyertakan pengguna dari satu pelangganGoogle Cloud , kecuali jika beberapa perusahaan yang memiliki hubungan kontraktual perlu menggunakan satu instance untuk berkolaborasi.

Jika Anda bekerja sama dengan beberapa perusahaan dan ingin berkolaborasi dengan mereka dalam kode sumber, sebaiknya buat instance terpisah untuk setiap perusahaan.

Sebelum memulai

  1. Sign in to your Google Account.

    If you don't already have one, sign up for a new account.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Enable the Secure Source Manager API.

    Enable the API

  4. Install the Google Cloud CLI.

  5. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  6. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Enable the Secure Source Manager API.

    Enable the API

  9. Install the Google Cloud CLI.

  10. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  11. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init
  12. Instal komponen beta Google Cloud CLI: 
    gcloud components install beta

    13. Enkripsi data

    Secara default, Google Cloud otomatis mengenkripsi data dalam penyimpanan menggunakan Google-owned and Google-managed encryption keys. Jika Anda memiliki persyaratan kepatuhan atau peraturan khusus terkait kunci yang melindungi data, Anda dapat membuat instance Secure Source Manager yang dienkripsi dengan kunci enkripsi yang dikelola pelanggan (CMEK).

    Jangan menyimpan data sensitif di ID instance atau key-value pair label karena data tersebut tidak dienkripsi dengan CMEK.

    Jika Anda membuat instance Secure Source Manager pertama di project, Anda harus membuat agen layanan Secure Source Manager secara manual dengan menjalankan perintah berikut:

    gcloud beta services identity create \
    --service=securesourcemanager.googleapis.com \
    --project=PROJECT_ID

    Dengan PROJECT_ID adalah project ID project tempat Anda akan membuat instance Secure Source Manager.

    Setelah membuat akun layanan per produk, per project (P4SA), Anda harus memberikan peran Secure Source Manager Service Agent (roles/securesourcemanager.serviceAgent) kepada prinsipal service-PROJECT-NUMBER@gcp-sa-sourcemanager.atau pembuatan instance akan gagal.

    Menyiapkan Workforce Identity Federation

    Sebelum membuat instance, Anda harus menyiapkan pool dan penyedia Workforce Identity Federation.

    1. Buat kumpulan Workforce Identity Federation.

    2. Konfigurasi penyedia pool identitas tenaga kerja dengan pemetaan atribut berikut:

      • google.subject
      • google.email

    Membuat instance

    Sebelum menjalankan perintah, lakukan penggantian berikut:

    • INSTANCE_ID: nama instance yang ingin Anda buat.
    • LOCATION: region tempat Anda ingin membuat instance. Untuk mengetahui informasi tentang lokasi yang didukung, lihat Lokasi.
    • PROJECT_ID: project ID dari project tempat Anda ingin membuat instance.

    Jalankan perintah berikut:

    curl \
    -X POST -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    https://securesourcemanager.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/instances?instance_id=INSTANCE_ID \
    -H "Content-Type: application/json" \
    -d "{workforce_identity_federation_config: {enabled: true}}"

    Operasi pembuatan instance yang berjalan lama dimulai. Outputnya akan terlihat mirip dengan berikut ini:

    {
"name": "OPERATION_NAME",
"metadata": {
  "@type": "type.googleapis.com/google.cloud.securesourcemanager.v1.OperationMetadata",
  "createTime": "2022-11-01T14:31:32.420469714Z",
  "target": "projects/PROJECT_ID/locations/LOCATION/instances/INSTANCE_ID",
  "verb": "create",
  "requestedCancellation": false,
  "apiVersion": "v1"
},
"done": false
}

    Output contoh ini mencakup nilai berikut:

    • OPERATION_NAME: nama operasi—misalnya, projects/my-project/locations/us-central1/operations/operation-1234567894561-5ec69948c0f2b-60dd727f-a9b97a2e.
    • PROJECT_ID: Google Cloud project.
    • LOCATION: region tempat instance berada.

    Catat OPERATION_NAME karena Anda harus menggunakannya untuk memeriksa status operasi.

    Diperlukan waktu hingga 60 menit untuk membuat instance.

    Periksa status operasi pembuatan

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • OPERATION_NAME: nama operasi dari respons perintah create Anda.

    Metode HTTP dan URL: 

    GET https://securesourcemanager.googleapis.com/v1/OPERATION_NAME

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Setelah instance siap, responsnya akan terlihat seperti berikut:

      "name": "projects/my-project/locations/us-central1/operations/operation-123456789012-5ec69948c0f2b-60dd727f-a9b97a2e",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.securesourcemanager.v1.OperationMetadata",
    "createTime": "2024-10-28T15:37:39.009812863Z",
    "endTime": "2024-10-28T16:10:58.416640259Z",
    "target": "projects/my-project/locations/us-central1/instances/my-instance",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.securesourcemanager.v1.Instance",
    "name": "projects/my-project/locations/us-central1/instances/my-instance",
    "createTime": "2024-10-28T15:37:39.004550840Z",
    "updateTime": "2024-10-28T15:37:39.867857246Z",
    "state": "ACTIVE",
    "hostConfig": {
      "html": "my-instance-326202322590.us-central1.sourcemanager.dev",
      "api": "my-instance-326202322590-api.us-central1.sourcemanager.dev",
      "gitHttp": "my-instance-326202322590-git.us-central1.sourcemanager.dev",
      "gitSsh": "my-instance-326202322590-ssh.us-central1.sourcemanager.dev"
    },
    "workforceIdentityFederationConfig": {
      "enabled": true
    }
  }

    Dengan my-instance-098765432109.us-central1.sourcemanager.dev adalah URL HTML instance.

    Salin URL HTML dari respons status pemeriksaan yang berhasil dibuat. Anda akan memerlukan URL ini untuk mengakses instance melalui antarmuka webnya.

    Mengakses instance

    Setelah instance dibuat, Anda dapat mengaksesnya melalui antarmuka web menggunakan browser.

    1. Untuk mengakses instance Secure Source Manager melalui antarmuka webnya, salin URL berikut ke kolom alamat browser Anda.

      INSTANCE_ID-PROJECT_NUMBER.LOCATION.sourcemanager.dev

      Ganti kode berikut:

      • INSTANCE_ID dengan nama instance.
      • PROJECT_NUMBER dengan nomor project Google Cloud instance. Untuk mengetahui informasi tentang cara mengidentifikasi project, lihat Mengidentifikasi project.
      • LOCATION dengan region instance.

      Layar OAuth akan muncul dan meminta nama penyedia Anda.

    2. Masukkan nama penyedia identitas tenaga kerja Anda dalam format berikut:

      locations/global/workforcePools/POOL_ID/providers/PROVIDER_ID

      Ganti kode berikut:

      • POOL_ID dengan ID kumpulan Workforce Identity Federation Anda.
      • PROVIDER_ID dengan ID penyedia Workforce Identity Federation Anda.

      Untuk mengetahui informasi selengkapnya tentang kumpulan dan penyedia Workforce Identity Federation, lihat Mengelola kumpulan dan penyedia identitas Workforce Identity Federation.

      Anda akan diminta untuk login menggunakan kredensial penyedia Anda.

    3. Login dengan kredensial penyedia Anda.

    4. Antarmuka web Secure Source Manager akan terbuka. Anda dapat membuat dan melihat repositori serta semua masalah dan permintaan pull terkait dari antarmuka web.

      Anda harus login lagi melalui antarmuka web setelah durasi sesi yang ditetapkan di pool Workforce Identity Federation Anda berakhir.

    Membuat konfigurasi login gcloud CLI

    Untuk melakukan autentikasi dengan kredensial kumpulan identitas tenaga kerja ke instance Secure Source Manager menggunakan perintah gcloud CLI atau perintah Git, Anda harus membuat konfigurasi login dengan kumpulan identitas tenaga kerja Anda.

    Untuk membuat konfigurasi login workforce identity pool, ikuti petunjuk di bagian Mendapatkan token berumur pendek untuk Workforce Identity Federation guna membuat login berbasis browser dengan gcloud CLI.

    Setelah diautentikasi, Anda dapat menggunakan perintah Git untuk berinteraksi dengan instance Secure Source Manager. Untuk mulai menggunakan Git, ikuti petunjuk di Menggunakan pengelolaan kode sumber Git.

    Langkah berikutnya