Menetapkan dan mengelola kebijakan IAM di folder terkelola

Halaman ini menjelaskan cara menetapkan kebijakan Identity and Access Management (IAM) di folder terkelola, sehingga Anda bisa mendapatkan kontrol akses yang terperinci atas grup objek tertentu dalam bucket.

Jika Anda mencari metode kontrol akses lainnya, lihat resource berikut:

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna menetapkan dan mengelola kebijakan IAM untuk folder terkelola, minta administrator untuk memberi Anda peran IAM Storage Folder Admin (roles/storage.folderAdmin) untuk bucket yang berisi folder terkelola.

Peran ini berisi izin berikut, yang diperlukan untuk menetapkan dan mengelola kebijakan IAM untuk folder terkelola:

  • storage.managedfolders.getIamPolicy

  • storage.managedfolders.setIamPolicy

Anda juga bisa mendapatkan izin ini dengan peran khusus.

Untuk mengetahui informasi tentang cara memberikan peran untuk bucket, lihat Menetapkan dan mengelola kebijakan IAM di bucket.

Menetapkan kebijakan IAM pada folder terkelola

Konsol

  1. Di konsol Google Cloud , buka halaman Bucket Cloud Storage.

    Buka Buckets

  2. Dalam daftar bucket, klik nama bucket yang berisi folder terkelola tempat Anda ingin menetapkan kebijakan IAM.

  3. Di halaman Detail bucket, klik ikon Opsi lainnya di panel Folder browser di samping folder terkelola yang ingin Anda tetapkan kebijakan IAM-nya.

    Jika Anda ingin mengontrol akses dalam folder atau folder simulasi, ikuti langkah-langkah di Membuat folder terkelola untuk mengaktifkan pengelolaan di folder atau folder simulasi.

  4. Klik Edit akses.

  5. Di panel Permissions for MANAGED_FOLDER_NAME, klik Add principal .

  6. Di kolom New principals, masukkan akun utama yang ingin Anda beri akses. Untuk mengetahui informasi selengkapnya tentang akun utama yang dapat Anda sertakan, lihat ID utama.

  7. Di bagian Tetapkan peran, gunakan drop-down Pilih peran untuk menentukan tingkat akses yang ingin Anda berikan kepada akun utama.

  8. Klik Simpan.

Command line

  1. Buat file JSON yang berisi informasi berikut:

    {
      "bindings":[
        {
          "role": "IAM_ROLE",
          "members":[
            "PRINCIPAL_IDENTIFIER"
          ]
        }
      ]
    }

    Dengan keterangan:

    • IAM_ROLE adalah peran IAM yang Anda berikan. Misalnya, roles/storage.objectViewer.

    • PRINCIPAL_IDENTIFIER mengidentifikasi siapa yang Anda beri akses folder terkelola. Contoh, user:jane@gmail.com. Untuk daftar format ID utama, lihat ID utama.

  2. Gunakan perintah gcloud storage managed-folders set-iam-policy:

    gcloud storage managed-folders set-iam-policy gs://BUCKET_NAME/MANAGED_FOLDER_NAME POLICY_FILE

    Dengan keterangan:

    • BUCKET_NAME adalah nama bucket yang berisi folder terkelola tempat Anda ingin menerapkan kebijakan IAM. Contoh, my-bucket.

    • MANAGED_FOLDER_NAME adalah nama folder dikelola yang ingin Anda terapkan kebijakan IAM. Contoh, my-managed-folder/.

    • POLICY_FILE adalah jalur ke file JSON yang Anda buat di langkah 1.

REST API

JSON

  1. Menginstal dan melakukan inisialisasi gcloud CLI , yang memungkinkan Anda membuat token akses untuk header Authorization.

  2. Buat file JSON yang berisi informasi berikut:

    {
      "bindings":[
        {
          "role": "IAM_ROLE",
          "members":[
            "PRINCIPAL_IDENTIFIER"
          ]
        }
      ]
    }

    Dengan keterangan:

    • IAM_ROLE adalah peran IAM yang Anda berikan. Contoh, roles/storage.objectViewer.

    • PRINCIPAL_IDENTIFIER mengidentifikasi siapa yang Anda beri akses folder terkelola. Contoh, user:jane@gmail.com. Untuk daftar format ID utama, lihat ID utama.

  3. Gunakan cURL untuk memanggil JSON API dengan permintaan PUT setIamPolicy:

    curl -X PUT --data-binary @POLICY_FILE \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      -H "Content-Type: application/json" \
      "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAME/iam"

    Dengan keterangan:

    • POLICY_FILE adalah jalur ke file kebijakan JSON yang Anda buat di langkah sebelumnya.

    • BUCKET_NAME adalah nama bucket yang berisi folder terkelola tempat Anda ingin menerapkan kebijakan IAM. Contoh, my-bucket.

    • MANAGED_FOLDER_NAME adalah nama folder terkelola yang ingin Anda beri akses utama. Contoh, my-managed-folder/.

Melihat kebijakan IAM untuk folder terkelola

Konsol

  1. Di konsol Google Cloud , buka halaman Bucket Cloud Storage.

    Buka Buckets

  2. Dalam daftar bucket, klik nama bucket yang berisi folder terkelola yang ingin Anda lihat kebijakan IAM-nya.

  3. Di halaman Detail bucket, klik ikon Opsi lainnya di panel Folder browser di samping folder terkelola yang ingin Anda lihat kebijakan IAM-nya.

  4. Klik Edit akses.

Panel Permissions for FOLDER_NAME menampilkan izin di folder terkelola, termasuk akun utama, peran, peran yang diwarisi, dan kondisi IAM.

Command line

Gunakan perintah gcloud storage managed-folder get-iam-policy:

gcloud storage managed-folders get-iam-policy gs://BUCKET_NAME/MANAGED_FOLDER_NAME

Dengan keterangan:

  • BUCKET_NAME adalah nama bucket yang berisi folder terkelola yang kebijakan IAM-nya ingin Anda lihat. Contoh, my-bucket.

  • MANAGED_FOLDER_NAME adalah nama folder terkelola yang kebijakan IAM-nya ingin Anda lihat. Contoh, my-managed-folder/.

REST API

JSON

  1. Menginstal dan melakukan inisialisasi gcloud CLI , yang memungkinkan Anda membuat token akses untuk header Authorization.

  2. Gunakan cURL untuk memanggil JSON API dengan permintaan GET getIamPolicy:

    curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAME/iam"

    Dengan keterangan:

    • BUCKET_NAME adalah nama bucket yang berisi folder terkelola yang kebijakan IAM-nya ingin Anda lihat. Contoh, my-bucket.

    • MANAGED_FOLDER_NAME adalah nama folder terkelola yang kebijakan IAM-nya ingin Anda lihat. Contoh, my-managed-folder/.

Menghapus akun utama dari kebijakan folder terkelola

Konsol

  1. Di konsol Google Cloud , buka halaman Bucket Cloud Storage.

    Buka Buckets

  2. Dalam daftar bucket, klik nama bucket yang berisi folder terkelola yang ingin Anda lihat kebijakan IAM-nya.

  3. Di halaman Detail bucket, klik ikon Opsi lainnya di panel Folder browser di samping folder terkelola yang ingin Anda hapus akun utama-nya.

  4. Klik Edit akses.

  5. Di panel Permissions for FOLDER_NAME, masukkan nama akun utama di kolom Filter.

  6. Klik ikon Hapus untuk menghapus akun utama.

Cloud Storage akan menghapus akun utama dari folder terkelola Anda.

Command line

Gunakan perintah gcloud storage managed-folder remove-iam-policy-binding:

gcloud storage managed-folders remove-iam-policy-binding  gs://BUCKET_NAME/MANAGED_FOLDER_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE

Dengan keterangan:

  • BUCKET_NAME adalah nama bucket yang berisi folder terkelola yang aksesnya akan Anda cabut. Contoh, my-bucket.

  • MANAGED_FOLDER_NAME adalah nama folder terkelola yang kebijakan IAM-nya ingin Anda hapus. Contoh, my-managed-folder/.

  • PRINCIPAL_IDENTIFIER mengidentifikasi pihak yang Anda cabut aksesnya. Contohnya, user:jane@gmail.com. Untuk daftar format ID utama, lihat ID utama.

  • IAM_ROLE adalah peran IAM yang Anda cabut. Misalnya, roles/storage.objectViewer.

REST API

JSON

  1. Menginstal dan melakukan inisialisasi gcloud CLI , yang memungkinkan Anda membuat token akses untuk header Authorization.

  2. Dapatkan kebijakan yang sudah ada dan terapkan ke folder terkelola Anda. Untuk melakukannya, gunakan cURL untuk memanggil JSON API dengan permintaan GET getIamPolicy:

    curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAME/iam"

    Dengan keterangan:

    • BUCKET_NAME adalah nama bucket yang berisi folder terkelola yang aksesnya akan Anda cabut. Contoh, my-bucket.

    • MANAGED_FOLDER_NAME adalah nama folder terkelola yang kebijakan IAM-nya ingin Anda hapus. Contoh, my-managed-folder/.

  3. Buat file JSON berisi kebijakan yang Anda dapat di langkah sebelumnya.

  4. Edit file JSON untuk menghapus akun utama dari kebijakan.

  5. Gunakan cURL untuk memanggil JSON API dengan permintaan PUT setIamPolicy:

    curl -X PUT --data-binary @JSON_FILE_NAME \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAME/iam"

    Dengan keterangan:

    • JSON_FILE_NAME adalah jalur untuk file yang Anda buat di Langkah 3.

    • BUCKET_NAME adalah nama bucket yang berisi folder terkelola yang aksesnya akan Anda cabut. Contoh, my-bucket.

    • MANAGED_FOLDER_NAME adalah nama folder terkelola yang kebijakan IAM-nya ingin Anda hapus. Contoh, my-managed-folder/.

Menggunakan IAM Conditions pada folder terkelola

Bagian berikut menunjukkan cara menambahkan dan menghapus IAM Conditions di folder terkelola. Untuk melihat IAM Conditions folder terkelola, lihat Melihat kebijakan IAM untuk folder terkelola. Untuk informasi selengkapnya tentang penggunaan IAM Conditions dengan Cloud Storage, lihat Kondisi.

Anda harus mengaktifkan akses level bucket yang seragam di bucket sebelum menambahkan kondisi ke folder terkelola.

Menetapkan kondisi baru pada folder terkelola

Command line

  1. Buat file JSON atau YAML yang menentukan kondisi, termasuk title kondisi, expression logika berbasis atribut untuk kondisi, dan, jika Anda mau, description kondisi tersebut.

    Perhatikan bahwa Cloud Storage hanya mendukung atribut tanggal/waktu, jenis resource, dan nama resource pada expression.

  2. Gunakan perintah gcloud storage managed-folders add-iam-policy-binding dengan flag --condition-from-file:

gcloud storage managed-folders add-iam-policy-binding  gs://BUCKET_NAME/MANAGED_FOLDER_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE --condition-from-file=CONDITION_FILE

Dengan keterangan:

  • BUCKET_NAME adalah nama bucket yang berisi folder terkelola yang aksesnya Anda berikan kepada akun utama. Contoh, my-bucket.

  • MANAGED_FOLDER_NAME adalah nama folder terkelola yang aksesnya Anda berikan ke akun utama. Contoh, my-managed-folder/.

  • PRINCIPAL_IDENTIFIER mengidentifikasi pada siapa kondisi berlaku. Contohnya, user:jane@gmail.com. Untuk daftar format ID utama, lihat ID utama.

  • IAM_ROLE adalah peran IAM yang Anda berikan ke akun utama. Contohnya, roles/storage.objectViewer.

  • CONDITION_FILE adalah file yang Anda buat di langkah sebelumnya.

Atau, Anda dapat menyertakan kondisi secara langsung dalam perintah dengan flag --condition, bukan flag --condition-from-file.

REST API

JSON

  1. Menginstal dan melakukan inisialisasi gcloud CLI , yang memungkinkan Anda membuat token akses untuk header Authorization.

  2. Gunakan permintaan GET getIamPolicy untuk menyimpan kebijakan IAM folder terkelola ke file JSON sementara:

    curl \
    'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAMEiam' \
    --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json

    Dengan keterangan:

    • BUCKET_NAME adalah nama bucket yang berisi folder terkelola tempat Anda ingin menetapkan Kondisi IAM.

    • MANAGED_FOLDER_NAME adalah nama folder terkelola yang ingin Anda tetapkan Kondisi IAM-nya.

  3. Edit file tmp-policy.json di editor teks untuk menambahkan kondisi baru ke binding dalam kebijakan IAM:

    {
        "version": VERSION,
        "bindings": [
          {
            "role": "IAM_ROLE",
            "members": [
              "PRINCIPAL_IDENTIFIER"
            ],
            "condition": {
              "title": "TITLE",
              "description": "DESCRIPTION",
              "expression": "EXPRESSION"
            }
          }
        ],
        "etag": "ETAG"
    }

    Dengan keterangan:

    • VERSION adalah versi kebijakan IAM. Versi 3 diwajibkan untuk folder terkelola dengan IAM Conditions.

    • IAM_ROLE adalah peran yang dikenai kondisi. Contohnya, roles/storage.objectViewer.

    • PRINCIPAL_IDENTIFIER mengidentifikasi pada siapa kondisi berlaku. Contohnya, user:jane@gmail.com. Untuk daftar format ID utama, lihat ID utama.

    • TITLE adalah judul kondisi. Contohnya, expires in 2019.

    • DESCRIPTION adalah deskripsi opsional kondisi. Contohnya, Permission revoked on New Year's.

    • EXPRESSION adalah ekspresi logika berbasis atribut. Contohnya, request.time < timestamp(\"2019-01-01T00:00:00Z\"). Untuk contoh ekspresi lainnya, lihat Referensi atribut kondisi. Cloud Storage hanya mendukung atribut tanggal/waktu, jenis resource, dan nama resource.

    Jangan ubah ETAG.

  4. Gunakan permintaan PUT setIamPolicy untuk menetapkan kebijakan IAM yang dimodifikasi pada bucket:

    curl -X PUT --data-binary @tmp-policy.json \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFoldersMANAGED_FOLDER_NAME/iam"

    Dengan keterangan:

    • BUCKET_NAME adalah nama bucket yang berisi folder terkelola tempat Anda ingin menetapkan Kondisi IAM.

    • MANAGED_FOLDER_NAME adalah nama folder terkelola yang ingin Anda tetapkan Kondisi IAM-nya.

Menghapus kondisi dari folder terkelola

Command line

  1. Gunakan perintah gcloud storage managed-folders get-iam-policy untuk menyimpan kebijakan IAM folder terkelola ke file JSON sementara.

    gcloud storage managed-folders get-iam-policy gs://BUCKET_NAME/MANAGED_FOLDER_NAME > tmp-policy.json
  2. Edit file tmp-policy.json di editor teks untuk menghapus kondisi dari kebijakan IAM.

  3. Gunakan perintah gcloud storage managed-folders set-iam-policy untuk menetapkan kebijakan IAM yang dimodifikasi pada folder terkelola.

    gcloud storage managed-folders set-iam-policy gs://BUCKET_NAME/MANAGED_FOLDER_NAME tmp-policy.json

REST API

JSON

  1. Menginstal dan melakukan inisialisasi gcloud CLI , yang memungkinkan Anda membuat token akses untuk header Authorization.

  2. Gunakan permintaan GET getIamPolicy untuk menyimpan kebijakan IAM folder terkelola ke file JSON sementara:

    curl \
    'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAMEiam' \
    --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json

    Dengan keterangan:

    • BUCKET_NAME adalah nama bucket yang berisi folder terkelola yang aksesnya Anda ubah. Contoh, my-bucket.

    • MANAGED_FOLDER_NAME adalah nama folder terkelola yang aksesnya Anda ubah. Contoh, my-managed-folder/.

  3. Edit file tmp-policy.json di editor teks untuk menghapus kondisi dari kebijakan IAM.

  4. Gunakan permintaan PUT setIamPolicy untuk menetapkan kebijakan IAM yang dimodifikasi pada folder terkelola:

    curl -X PUT --data-binary @tmp-policy.json \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAMEiam"

    Dengan keterangan:

    • BUCKET_NAME adalah nama bucket yang berisi folder terkelola yang aksesnya Anda ubah. Contoh, my-bucket.

    • MANAGED_FOLDER_NAME adalah nama folder terkelola yang aksesnya Anda ubah. Contoh, my-managed-folder/.

Menggunakan IAM dengan project

Lihat Mengelola akses ke project, folder terkelola, dan organisasi untuk panduan tentang cara memberikan dan mencabut peran IAM di level project dan yang lebih tinggi.

Praktik terbaik

Anda harus menetapkan peran minimum yang memungkinkan yang memberi akun utama akses yang diperlukan. Misalnya, jika anggota tim hanya perlu melihat folder terkelola di bucket, beri mereka peran Storage Object Admin (roles/storage.objectAdmin), bukan peran Storage Folder Admin (roles/storage.folderAdmin). Demikian pula, jika anggota tim memerlukan kontrol penuh atas folder terkelola dalam bucket, berikan peran Storage Folder Admin (roles/storage.folderAdmin) kepadanya, bukan peran Storage Admin (roles/storage.admin).

Langkah selanjutnya