Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi grup identitas dan identitas pihak ketiga dalam aturan masuk dan keluar

Halaman ini menjelaskan cara menggunakan grup identitas dalam aturan masuk dan keluar untuk mengizinkan akses ke resource yang dilindungi oleh perimeter layanan.

Kontrol Layanan VPC menggunakan aturan masuk dan keluar untuk mengizinkan akses ke dan dari resource serta klien yang dilindungi oleh perimeter layanan. Untuk lebih memfilter akses, Anda dapat menentukan grup identitas dalam aturan masuk dan keluar.

Grup identitas adalah cara mudah untuk menerapkan kontrol akses ke kumpulan pengguna dan memungkinkan Anda mengelola identitas yang memiliki kebijakan akses serupa.

Untuk mengonfigurasi grup identitas dalam aturan masuk atau keluar, Anda dapat menggunakan grup identitas yang didukung berikut dalam atribut identities:

Grup Google
Identitas pihak ketiga (Pratinjau) seperti identitas tenaga kerja dan identitas workload.

Untuk informasi tentang cara menerapkan kebijakan aturan traffic masuk dan keluar, lihat Mengonfigurasi kebijakan traffic masuk dan keluar.

Sebelum memulai

Pastikan Anda membaca Aturan traffic masuk dan keluar.

Mengonfigurasi grup identitas dalam aturan masuk

Konsol

Saat memperbarui kebijakan traffic masuk perimeter layanan atau menetapkan kebijakan traffic masuk selama pembuatan perimeter menggunakan konsol Google Cloud, Anda dapat mengonfigurasi aturan traffic masuk untuk menggunakan grup identitas.

Saat membuat perimeter atau mengedit perimeter di konsol Google Cloud, pilih Kebijakan masuk.
Di panel Dari atribut klien API pada kebijakan ingress, pilih Pilih Identitas & Grup dari daftar Identitas.
Klik Pilih.
Di dialog Tambahkan identitas, tentukan grup Google atau identitas pihak ketiga (Pratinjau) yang ingin Anda berikan akses ke resource di perimeter. Untuk menentukan grup identitas, gunakan format yang ditentukan dalam ID Utama v1 API IAM.

Kontrol Layanan VPC hanya mendukung identitas v1 yang dimulai dengan awalan group, principal (Pratinjau), dan principalSet (Pratinjau) di ID Utama API v1 IAM. Misalnya, gunakan format principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID untuk menentukan semua identitas tenaga kerja dalam grup atau gunakan format group:GROUP_NAME@googlegroups.com untuk menentukan grup Google.
Klik Simpan.

Untuk informasi tentang atribut aturan traffic masuk lainnya, lihat Referensi aturan traffic masuk.

gcloud

Anda dapat mengonfigurasi aturan traffic masuk untuk menggunakan grup identitas menggunakan file JSON atau file YAML. Contoh berikut menggunakan format YAML:

- ingressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER

Ganti kode berikut:

PRINCIPAL_IDENTIFIER: tentukan grup Google atau identitas pihak ketiga (Pratinjau) yang ingin Anda berikan akses ke resource di perimeter. Untuk menentukan grup identitas, gunakan format yang ditentukan dalam ID Utama v1 API IAM.

Kontrol Layanan VPC hanya mendukung identitas v1 yang dimulai dengan awalan group, principal (Pratinjau), dan principalSet (Pratinjau) di ID Utama API v1 IAM. Misalnya, gunakan format principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID untuk menentukan semua identitas tenaga kerja dalam grup atau gunakan format group:GROUP_NAME@googlegroups.com untuk menentukan grup Google.

Untuk informasi tentang atribut aturan traffic masuk lainnya, lihat Referensi aturan traffic masuk.

Setelah mengupdate aturan traffic masuk yang ada untuk mengonfigurasi grup identitas, Anda perlu mengupdate kebijakan aturan perimeter layanan:

gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml

Ganti kode berikut:

PERIMETER_ID: ID perimeter layanan yang ingin Anda perbarui.
RULE_POLICY: jalur file aturan masuk yang diubah.

Untuk mengetahui informasi selengkapnya, lihat Memperbarui kebijakan traffic masuk dan keluar untuk perimeter layanan.

Mengonfigurasi grup identitas dalam aturan keluar

Konsol

Saat memperbarui kebijakan traffic keluar perimeter layanan atau menetapkan kebijakan traffic keluar selama pembuatan perimeter menggunakan konsol Google Cloud, Anda dapat mengonfigurasi aturan traffic keluar untuk menggunakan grup identitas.

Saat membuat perimeter atau mengedit perimeter di konsol Google Cloud, pilih Kebijakan egress.
Di panel Dari atribut klien API pada kebijakan keluar, pilih Select Identities & Groups dari daftar Identity.
Klik Pilih.
Pada dialog Tambahkan identitas, tentukan grup Google atau identitas pihak ketiga (Pratinjau) yang dapat mengakses resource yang ditentukan di luar perimeter. Untuk menentukan grup identitas, gunakan format yang ditentukan dalam ID Utama v1 API IAM.

Kontrol Layanan VPC hanya mendukung identitas v1 yang dimulai dengan awalan group, principal (Pratinjau), dan principalSet (Pratinjau) di ID Utama API v1 IAM. Misalnya, gunakan format principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID untuk menentukan semua identitas tenaga kerja dalam grup atau gunakan format group:GROUP_NAME@googlegroups.com untuk menentukan grup Google.
Klik Simpan.

Untuk informasi tentang atribut aturan traffic keluar lainnya, lihat Referensi aturan traffic keluar.

gcloud

Anda dapat mengonfigurasi aturan traffic keluar untuk menggunakan grup identitas menggunakan file JSON atau file YAML. Contoh berikut menggunakan format YAML:

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER
  egressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER

Ganti kode berikut:

PRINCIPAL_IDENTIFIER: menentukan grup Google atau identitas pihak ketiga (Pratinjau) yang dapat mengakses resource yang ditentukan di luar perimeter. Untuk menentukan grup identitas, gunakan format yang ditentukan dalam ID Utama v1 API IAM.

Kontrol Layanan VPC hanya mendukung identitas v1 yang dimulai dengan awalan group, principal (Pratinjau), dan principalSet (Pratinjau) di ID Utama API v1 IAM. Misalnya, gunakan format principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID untuk menentukan semua identitas tenaga kerja dalam grup atau gunakan format group:GROUP_NAME@googlegroups.com untuk menentukan grup Google.

Untuk informasi tentang atribut aturan traffic keluar lainnya, lihat Referensi aturan traffic keluar.

Setelah memperbarui aturan keluar yang ada untuk mengonfigurasi grup identitas, Anda perlu memperbarui kebijakan aturan perimeter layanan:

gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml

Ganti kode berikut:

PERIMETER_ID: ID perimeter layanan yang ingin Anda perbarui.
RULE_POLICY: jalur file aturan keluar yang diubah.

Untuk mengetahui informasi selengkapnya, lihat Memperbarui kebijakan traffic masuk dan keluar untuk perimeter layanan.

Batasan

Sebelum menggunakan grup identitas, pahami fitur yang tidak didukung dalam aturan masuk dan keluar.
Saat menggunakan grup identitas dalam aturan keluar, Anda tidak dapat menetapkan kolom resources di atribut egressTo ke "*".
Untuk mengetahui informasi tentang batas aturan traffic masuk dan keluar, lihat Kuota dan batas.

Langkah selanjutnya

Contoh penggunaan grup identitas dan identitas pihak ketiga dalam aturan masuk dan keluar