Kontrol akses dengan IAM

Halaman ini menjelaskan cara Anda memberikan dan mengelola akses ke Katalog Layanan menggunakan Identity and Access Management (IAM).

Sebelum memulai

Apa yang dimaksud dengan Identity and Access Management (IAM)?

Google Cloud menawarkan Identity and Access Management (IAM), yang memungkinkan Anda memberikan akses yang lebih terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip keamanan dengan hak istimewa terendah, sehingga Anda hanya memberikan akses yang diperlukan ke resource Anda.

Dengan IAM, Anda dapat mengontrol siapa (identitas) yang memiliki izin apa (peran) ke resource mana dengan menetapkan kebijakan IAM. Kebijakan IAM memberikan peran tertentu kepada akun utama, sehingga akun tersebut memiliki izin tertentu.

Misalnya, untuk resource tertentu, seperti project, Anda dapat menetapkan peran roles/compute.networkAdmin ke Akun Google dan akun tersebut dapat mengontrol resource terkait jaringan dalam project, tetapi tidak dapat mengelola resource lain, seperti instance dan disk.

Peran IAM Katalog Layanan

Dengan IAM, setiap metode API di Service Catalog API dan Service Catalog Producer API mengharuskan identitas yang membuat permintaan API memiliki izin yang sesuai untuk menggunakan resource. Izin diberikan dengan menetapkan kebijakan yang memberikan peran kepada akun utama, seperti pengguna, grup, atau akun layanan. Selain peran dasar, Pemilik, Editor, dan Viewer, Anda dapat menetapkan peran Service Catalog dan Service Catalog Producer yang dijelaskan di halaman ini kepada akun utama.

Tabel berikut mencantumkan peran IAM yang tersedia untuk pengguna Katalog Layanan. Tabel diatur ke dalam berbagai peran.

Catalog Org Admin

Nama peran Deskripsi Menyertakan izin
roles/cloudprivatecatalogproducer.orgAdmin

Mengelola setelan Katalog Layanan di tingkat organisasi Google Cloud. Membuat dan mengelola resource Katalog Layanan, seperti solusi dan katalog.
  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Catalog Admin

Nama peran Deskripsi Menyertakan izin
roles/cloudprivatecatalogproducer.admin

Membuat dan mengelola resource Katalog Layanan, seperti solusi dan katalog.
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Catalog Manager

Nama peran Deskripsi Menyertakan izin
roles/cloudprivatecatalogproducer.manager

Melihat solusi dan katalog, serta membagikan katalog kepada pengguna Katalog Layanan.
  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Catalog Consumer

Nama peran Deskripsi Menyertakan izin
roles/cloudprivatecatalog.consumer Menjelajahi katalog. Melihat dan meluncurkan solusi. Beroperasi di bawah resource Google Cloud target, seperti organisasi, project, atau folder.
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Menambahkan pengguna ke peran IAM Service Catalog

Pengguna, Google Grup, atau domain harus memiliki izin resourcemanager.organizations.setIamPolicy di organisasi untuk menambahkan pengguna ke peran IAM Katalog Layanan. Anda dapat memberikan izin tersebut kepada pengguna atau grup dengan memberi mereka peran Organization Administrator (roles/resourcemanager.organizationAdmin).

Misalnya, jika organisasi Anda ingin pengguna yang diberi peran Catalog Admin juga dapat menambahkan dan menghapus pengguna serta grup dari peran IAM Service Catalog lainnya, Administrator Organisasi dapat melakukan hal berikut:

  • Buat Google Grup untuk pengguna (MyCompanyCatalogAdmins).
  • Tetapkan peran Organization Administrator ke Grup Google (MyCompanyCatalogAdmins).
  • Tetapkan peran Catalog Admin ke Grup Google (MyCompanyCatalogAdmins).

Dalam contoh ini, anggota Google Grup (MyCompanyCatalogAdmins) dapat menetapkan pengguna dan grup ke peran IAM di organisasi karena grup telah diberi izin setIamPolicy saat diberi peran Organization Administrator. Saat Administrator Katalog baru bergabung ke organisasi, tambahkan mereka ke Google Grup (MyCompanyCatalogAdmins) untuk memberikan peran yang diinginkan.

Untuk menambahkan pengguna, grup, atau domain ke peran IAM Service Catalog, ikuti langkah-langkah berikut.

  1. Login ke halaman IAM & admin konsol Google Cloud sebagai Administrator Organisasi.
    Buka halaman IAM & admin konsol Google Cloud
  2. Pilih Cloud Private Catalog dari menu samping.
  3. Pilih peran yang akan ditetapkan:
    • Catalog Admin
    • Catalog Manager
    • Konsumen Katalog
  4. Tentukan pengguna, grup, atau domain yang akan ditambahkan.

Langkah selanjutnya