Mengontrol akses dengan IAM

Saat membuat project Google Cloud , Anda adalah satu-satunya pengguna di project tersebut. Secara default, tidak ada pengguna lain yang memiliki akses ke project Anda atau resource-nya. Identity and Access Management (IAM) mengelola akses ke resource Google Cloud , seperti cluster. Izin ditetapkan ke akun utama IAM.

IAM memungkinkan Anda memberikan peran ke akun utama. Peran adalah kumpulan izin, dan jika diberikan kepada akun utama, akan mengontrol akses ke satu atau beberapa Google Cloud resource. Anda dapat menggunakan jenis peran berikut:

  • Peran dasar memberikan izin umum yang dibatasi untuk Pemilik, Editor, dan Viewer.
  • Peran yang telah ditetapkan, memberikan akses yang lebih terperinci daripada peran dasar dan menangani banyak kasus penggunaan umum.
  • Peran khusus memungkinkan Anda membuat kombinasi izin yang unik.

Akun utama dapat berupa salah satu dari berikut:

  • Akun pengguna
  • Akun layanan
  • Google Grup Google Workspace
  • Domain Google Workspace
  • Domain Cloud Identity

Jenis kebijakan IAM

IAM mendukung jenis kebijakan berikut:

  • Kebijakan izin: memberikan peran kepada akun utama. Untuk mengetahui detailnya, lihat Kebijakan izinkan.
  • Kebijakan tolak: mencegah akun utama menggunakan izin IAM tertentu, terlepas dari peran yang diberikan kepada akun utama tersebut. Untuk mengetahui detailnya, lihat Kebijakan penolakan.

Gunakan kebijakan tolak untuk membatasi akun utama tertentu agar tidak melakukan tindakan tertentu di project, folder, atau organisasi Anda meskipun kebijakan izin IAM memberikan peran yang berisi izin yang relevan kepada akun utama tersebut.

Peran yang telah ditetapkan

IAM menyediakan peran yang telah ditetapkan untuk memberikan akses terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. Google Cloud membuat dan mengelola peran ini serta otomatis memperbarui izinnya sesuai kebutuhan, seperti saat Google Cloud Observability menambahkan fitur baru.

Peran bawaan untuk Google Cloud Observability berisi izin untuk fitur yang mencakup beberapa area produk. Karena alasan ini, Anda mungkin melihat beberapa izin, seperti observability.scopes.get, disertakan dalam peran bawaan untuk area produk tersebut. Misalnya, peran Logs Viewer (roles/logging.viewer) menyertakan izin observability.scopes.get selain banyak izin khusus logging.

Tabel berikut mencantumkan peran bawaan untuk Google Cloud Observability. Untuk setiap peran, tabel menampilkan judul peran, deskripsi, izin yang dimuat, dan jenis resource tingkat terendah tempat peran dapat diberikan. Anda dapat memberikan peran bawaan di tingkat project Google Cloud atau, dalam sebagian besar kasus, jenis apa pun yang lebih tinggi dalam hierarki resource.

Untuk mendapatkan daftar semua izin individual yang terdapat dalam peran, lihat Mendapatkan metadata peran.

Role Permissions

(roles/observability.admin)

Full access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.scopes.get
  • observability.scopes.update

(roles/observability.analyticsUser)

Grants permissions to use Cloud Observability Analytics.

observability.analyticsViews.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update

observability.scopes.get

(roles/observability.editor)

Edit access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.scopes.get
  • observability.scopes.update

(roles/observability.viewer)

Read only access to Observability resources.

observability.analyticsViews.get

observability.analyticsViews.list

observability.scopes.get

Langkah berikutnya