Google Cloud menawarkan Identity and Access Management (IAM), yang memungkinkan Anda memberikan akses yang lebih terperinci ke resourceGoogle Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. Halaman ini menjelaskan peran Service Directory API. Untuk mengetahui penjelasan lengkap tentang IAM, baca dokumentasi IAM.
IAM memungkinkan Anda menerapkan
prinsip keamanan dengan hak istimewa terendah,
jadi Anda hanya memberikan akses yang diperlukan ke resource Anda.
Dengan IAM, Anda dapat mengontrol siapa yang memiliki izin untuk
resource tertentu dengan menetapkan kebijakan IAM. Kebijakan IAM memberikan peran tertentu kepada pengguna, sehingga pengguna memiliki izin tertentu.
Izin dan Peran
Setiap metode Service Directory API mengharuskan pemanggil memiliki izin IAM
yang diperlukan. Anda dapat menetapkan izin dengan memberikan peran ke pengguna, grup, atau akun layanan. Selain peran dasar Pemilik,
Editor, dan Viewer, Anda dapat memberikan peran Service Directory API kepada pengguna
project Anda.
Izin
Anda dapat mengetahui izin yang diperlukan untuk setiap metode di
dokumentasi referensi API
Direktori Layanan.
Peran
| Role |
Permissions |
Service Directory Admin
(roles/servicedirectory.admin)
Full control of all Service Directory resources and permissions.
|
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.endpoints.*
servicedirectory.endpoints.createservicedirectory.endpoints.deleteservicedirectory.endpoints.getservicedirectory.endpoints.getIamPolicyservicedirectory.endpoints.listservicedirectory.endpoints.setIamPolicyservicedirectory.endpoints.update
servicedirectory.locations.*
servicedirectory.locations.getservicedirectory.locations.list
servicedirectory.namespaces.*
servicedirectory.namespaces.associatePrivateZoneservicedirectory.namespaces.createservicedirectory.namespaces.deleteservicedirectory.namespaces.getservicedirectory.namespaces.getIamPolicyservicedirectory.namespaces.listservicedirectory.namespaces.setIamPolicyservicedirectory.namespaces.update
servicedirectory.networks.attach
servicedirectory.services.*
servicedirectory.services.bindservicedirectory.services.createservicedirectory.services.deleteservicedirectory.services.getservicedirectory.services.getIamPolicyservicedirectory.services.listservicedirectory.services.resolveservicedirectory.services.setIamPolicyservicedirectory.services.update
|
Service Directory Editor
(roles/servicedirectory.editor)
Edit Service Directory resources.
|
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.endpoints.create
servicedirectory.endpoints.delete
servicedirectory.endpoints.get
servicedirectory.endpoints.getIamPolicy
servicedirectory.endpoints.list
servicedirectory.endpoints.update
servicedirectory.locations.*
servicedirectory.locations.getservicedirectory.locations.list
servicedirectory.namespaces.associatePrivateZone
servicedirectory.namespaces.create
servicedirectory.namespaces.delete
servicedirectory.namespaces.get
servicedirectory.namespaces.getIamPolicy
servicedirectory.namespaces.list
servicedirectory.namespaces.update
servicedirectory.networks.attach
servicedirectory.services.bind
servicedirectory.services.create
servicedirectory.services.delete
servicedirectory.services.get
servicedirectory.services.getIamPolicy
servicedirectory.services.list
servicedirectory.services.resolve
servicedirectory.services.update
|
Service Directory Network Attacher
(roles/servicedirectory.networkAttacher)
Gives access to attach VPC Networks to Service Directory Endpoints
|
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.networks.attach
|
Private Service Connect Authorized Service
(roles/servicedirectory.pscAuthorizedService)
Gives access to VPC Networks via Service Directory
|
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.networks.access
|
Service Directory Viewer
(roles/servicedirectory.viewer)
View Service Directory resources.
|
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.endpoints.get
servicedirectory.endpoints.getIamPolicy
servicedirectory.endpoints.list
servicedirectory.locations.*
servicedirectory.locations.getservicedirectory.locations.list
servicedirectory.namespaces.get
servicedirectory.namespaces.getIamPolicy
servicedirectory.namespaces.list
servicedirectory.services.get
servicedirectory.services.getIamPolicy
servicedirectory.services.list
servicedirectory.services.resolve
|
Kontrol Akses menggunakan konsol Google Cloud
Anda dapat menggunakan Konsol Google Cloud untuk mengelola kontrol akses ke registry Anda.
Untuk menetapkan kontrol akses di tingkat project:
Konsol
Di konsol Google Cloud, buka halaman IAM.
Buka IAM
Pilih project Anda dari menu pull-down atas.
Klik Tambahkan.
Di New principals, masukkan alamat email akun utama baru.
Pilih peran yang diinginkan dari menu drop-down: servicedirectory.admin,
servicedirectory.editor, atau servicedirectory.viewer
Klik Save.
Pastikan akun utama tercantum dengan peran yang Anda berikan.
Zona Direktori Layanan mengganti pembatasan IAM
Saat menetapkan namespace ke zona Direktori Layanan, nama layanan
akan terlihat oleh semua klien di jaringan mana pun yang diberi otorisasi untuk
mengkueri zona pribadi. Tidak ada kontrol akses IAM untuk DNS karena
protokol DNS tidak menyediakan kemampuan autentikasi.
Langkah selanjutnya
- Lihat dokumentasi IAM untuk mengetahui detail tentang Identity
and Access Management
- Lihat Ringkasan
untuk memahami Direktori Layanan.
