Membuat kebijakan akses

Halaman ini menjelaskan cara membuat kebijakan akses tingkat organisasi untuk organisasi Anda dan kebijakan tercakup untuk folder dan project di organisasi Anda.

Sebelum memulai

  • Pastikan Anda memiliki izin yang benar untuk menggunakan Access Context Manager.

Membuat kebijakan akses tingkat organisasi

Untuk organisasi, Anda tidak dapat membuat kebijakan akses tingkat organisasi jika kebijakan akses tingkat organisasi sudah ada untuk organisasi tersebut.

Konsol

Saat Anda membuat tingkat akses, kebijakan akses default akan dibuat secara otomatis. Tidak diperlukan langkah manual tambahan.

gcloud

Untuk membuat kebijakan akses tingkat organisasi, gunakan perintah create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID --title POLICY_TITLE

Dengan:

  • ORGANIZATION_ID adalah ID numerik organisasi Anda.

  • POLICY_TITLE adalah judul kebijakan yang dapat dibaca manusia.

Anda akan melihat output yang mirip dengan berikut ini (dengan POLICY_NAME adalah ID numerik unik untuk kebijakan yang ditetapkan oleh Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Selanjutnya, tetapkan kebijakan default Anda.

API

Untuk membuat kebijakan akses tingkat organisasi:

  1. Buat isi permintaan.

    {
 "parent": "ORGANIZATION_ID",
 "title": "POLICY_TITLE"
}

    Dengan:

    • ORGANIZATION_ID adalah ID numerik organisasi Anda.

    • POLICY_TITLE adalah judul kebijakan yang dapat dibaca manusia.

  2. Buat kebijakan akses dengan memanggil accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Isi respons

Jika berhasil, isi respons untuk panggilan berisi resource Operation yang memberikan detail tentang operasi POST.

Membuat kebijakan akses tercakup dan mendelegasikan kebijakan

Hanya Kontrol Layanan VPC yang mendukung pembuatan kebijakan akses yang tercakup. Anda harus terus menggunakan kebijakan tingkat organisasi untuk Google Cloud layanan, seperti Identity-Aware Proxy (IAP).

Konsol

  1. Di Google Cloud menu navigasi konsol, klik Security, lalu klik VPC Service Controls.

    Buka VPC Service Controls

  2. Jika diminta, pilih organisasi, folder, atau project Anda.

  3. Di halaman VPC Service Controls, pilih kebijakan akses yang merupakan induk dari kebijakan tercakup. Misalnya, Anda dapat memilih kebijakan organisasi default policy.

  4. Klik Manage policies.

  5. Di halaman Manage VPC Service Controls, klik Create.

  6. Di halaman Create access policy, di kotak Access policy name, ketik nama untuk kebijakan akses tercakup.

    Nama kebijakan akses tercakup dapat memiliki panjang maksimum 50 karakter, harus diawali dengan huruf, dan hanya boleh berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), atau garis bawah (_). Nama kebijakan akses tercakup peka huruf besar/kecil dan harus unik dalam kebijakan akses organisasi.

  7. Untuk menentukan cakupan kebijakan akses, klik Scopes.

  8. Tentukan project atau folder sebagai cakupan kebijakan akses.

    • Untuk memilih project yang ingin Anda tambahkan ke cakupan kebijakan akses, lakukan hal berikut:

      1. Di panel Scopes, klik Add project.

      2. Pada dialog Add project, pilih kotak centang project tersebut.

      3. Klik Done. Project yang ditambahkan akan muncul di bagian Scopes.

    • Untuk memilih folder yang ingin Anda tambahkan ke cakupan kebijakan akses, lakukan tindakan berikut:

      1. Di panel Scopes, klik Add folder.

      2. Di dialog Tambahkan folder, centang kotak folder tersebut.

      3. Klik Done. Folder yang ditambahkan akan muncul di bagian Scopes.

  9. Untuk mendelegasikan administrasi kebijakan akses tercakup, klik Principals.

  10. Untuk menentukan principal dan peran yang ingin Anda ikat ke kebijakan akses, lakukan hal berikut:

    1. Di panel Principals, klik Add principals.

    2. Pada dialog Add principals, pilih akun utama, seperti nama pengguna atau akun layanan.

    3. Pilih peran yang ingin Anda kaitkan dengan principal, seperti peran editor dan baca.

    4. Klik Save. Principal dan peran yang ditambahkan akan muncul di bagian Principals.

  11. Di halaman Create access policy, klik Create access policy.

gcloud

Untuk membuat kebijakan akses tercakup, gunakan perintah gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Dengan:

  • ORGANIZATION_ID adalah ID numerik organisasi Anda.

  • POLICY_TITLE adalah judul kebijakan yang dapat dibaca manusia. Judul kebijakan dapat memiliki panjang maksimum 50 karakter, harus diawali dengan huruf, dan hanya boleh berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), atau garis bawah (_). Judul kebijakan peka huruf besar/kecil dan harus unik dalam kebijakan akses organisasi.

  • SCOPE adalah folder atau project tempat kebijakan ini berlaku. Anda dapat menentukan hanya satu folder atau project sebagai cakupan, dan cakupan harus ada dalam organisasi yang ditentukan. Jika Anda tidak menentukan cakupan, kebijakan akan berlaku untuk seluruh organisasi.

Output berikut akan muncul (dengan POLICY_NAME adalah ID numerik unik untuk kebijakan yang ditetapkan oleh Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Untuk mendelegasikan administrasi dengan mengikat principal dan peran dengan kebijakan akses yang tercakup, gunakan perintah add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Dengan:

  • POLICY adalah ID kebijakan atau ID yang sepenuhnya memenuhi syarat untuk kebijakan.

  • PRINCIPAL adalah akun utama yang akan ditambahkan binding-nya. Tentukan dalam format berikut: user|group|serviceAccount:email atau domain:domain.

  • ROLE adalah nama peran yang akan ditetapkan ke principal. Nama peran adalah jalur lengkap peran bawaan, seperti roles/accesscontextmanager.policyReader, atau ID peran untuk peran khusus, seperti organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.

API

Untuk membuat kebijakan akses tercakup, lakukan hal berikut:

  1. Buat isi permintaan.

    {
 "parent": "ORGANIZATION_ID",
 "scope": "SCOPE"
 "title": "POLICY_TITLE"
}

    Dengan:

    • ORGANIZATION_ID adalah ID numerik organisasi Anda.

    • SCOPE adalah folder atau project tempat kebijakan ini berlaku.

    • POLICY_TITLE adalah judul kebijakan yang dapat dibaca manusia. Judul kebijakan dapat memiliki panjang maksimum 50 karakter, harus diawali dengan huruf, dan hanya boleh berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), atau garis bawah (_). Judul kebijakan peka huruf besar/kecil dan harus unik dalam kebijakan akses organisasi.

  2. Buat kebijakan akses dengan memanggil accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Isi respons

Jika berhasil, isi respons untuk panggilan berisi resource Operation yang memberikan detail tentang operasi POST.

Untuk mendelegasikan administrasi kebijakan akses tercakup, lakukan hal berikut:

  1. Buat isi permintaan.

    {
 "policy": "IAM_POLICY",
}

    Dengan:

    • IAM_POLICY adalah kumpulan binding. Binding mengikat satu atau beberapa anggota, atau principal, ke satu peran. Principal dapat berupa akun pengguna, akun layanan, grup Google, dan domain. Peran adalah daftar izin yang diberi nama; setiap peran dapat berupa peran bawaan IAM atau peran khusus yang dibuat pengguna.

  2. Buat kebijakan akses dengan memanggil accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Isi respons

Jika berhasil, isi respons akan memuat instance policy.

Langkah berikutnya