Mengonfigurasi kebijakan IAM

Halaman ini menjelaskan cara mengonfigurasi kebijakan Identity and Access Management (IAM) yang memungkinkan anggota membuat dan mengelola resource Certificate Authority Service. Untuk mengetahui informasi selengkapnya tentang IAM, lihat Ringkasan IAM.

Kebijakan IAM umum

Di Layanan CA, Anda memberikan peran IAM kepada pengguna atau akun layanan untuk membuat dan mengelola resource Layanan CA. Anda dapat menambahkan binding peran ini di tingkat berikut:

  • Tingkat kumpulan CA untuk mengelola akses bagi kumpulan CA tertentu dan bagi CA dalam kumpulan CA tersebut.
  • Tingkat project atau tingkat organisasi untuk memberikan akses ke semua kumpulan CA dalam cakupan tersebut.

Peran diwariskan, jika diberikan pada tingkat resource yang lebih tinggi. Misalnya, pengguna yang diberi peran Auditor (roles/privateca.auditor) di tingkat project dapat melihat semua resource dalam project. Kebijakan IAM yang ditetapkan pada kumpulan certificate authority (CA) diwarisi oleh semua CA dalam kumpulan CA tersebut.

Peran IAM tidak dapat diberikan pada sertifikat dan resource CA.

Kebijakan IAM bersyarat

Jika Anda memiliki kumpulan CA bersama yang dapat digunakan oleh beberapa pengguna yang diberi otorisasi untuk meminta berbagai jenis sertifikat, Anda dapat menentukan kondisi IAM untuk menerapkan akses berbasis atribut guna melakukan operasi tertentu pada kumpulan CA.

Binding peran bersyarat IAM memungkinkan Anda memberikan akses ke akun utama hanya jika kondisi tertentu terpenuhi. Misalnya, jika peran Certificate Requester terikat ke pengguna alice@example.com di kumpulan CA dengan kondisi bahwa SAN DNS yang diminta adalah subset dari ['alice@example.com', 'bob@example.com'], maka pengguna tersebut dapat meminta sertifikat dari kumpulan CA yang sama hanya jika SAN yang diminta adalah salah satu dari dua nilai yang diizinkan tersebut. Anda dapat menetapkan kondisi pada binding IAM menggunakan ekspresi Common Expression Language (CEL). Kondisi ini dapat membantu Anda lebih membatasi jenis sertifikat yang dapat diminta pengguna. Untuk informasi tentang penggunaan ekspresi CEL untuk kondisi IAM, lihat Dialek Common Expression Language (CEL) untuk kebijakan IAM.

Sebelum memulai

  • Kemudian aktifkan API
  • Buat CA dan kumpulan CA dengan mengikuti petunjuk di salah satu panduan memulai cepat.
  • Baca tentang peran IAM yang tersedia untuk Certificate Authority Service.

Mengonfigurasi binding kebijakan IAM di level project

Skenario berikut menjelaskan cara Anda dapat memberikan akses kepada pengguna ke resource Layanan CA di tingkat project.

Mengelola resource

Admin CA Service (roles/privateca.admin) memiliki izin untuk mengelola semua resource CA Service, dan menetapkan kebijakan IAM pada kumpulan CA dan template sertifikat.

Untuk menetapkan peran Admin Layanan CA (roles/privateca.admin) kepada pengguna di tingkat project, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka Identity and Access Management

  2. Pilih project.

  3. Klik Grant access.

  4. Di kolom New principals, masukkan alamat email atau ID lain akun utama.

  5. Di daftar Select a role, pilih peran CA Service Admin.

  6. Klik Simpan.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Ganti kode berikut:

  • PROJECT_ID: ID unik project.
  • MEMBER: akun pengguna atau layanan yang ingin Anda tetapkan peran Admin Layanan CA-nya.

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Membuat resource

CA Service Operation Manager (roles/privateca.caManager) dapat membuat, memperbarui, dan menghapus kumpulan CA dan CA. Peran ini juga memungkinkan pemanggil mencabut sertifikat yang dikeluarkan oleh CA di kumpulan CA.

Untuk menetapkan peran CA Service Operation Manager (roles/privateca.caManager) kepada pengguna di tingkat project, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka Identity and Access Management

  2. Pilih project.

  3. Klik Grant access.

  4. Di kolom New principals, masukkan alamat email atau ID lain akun utama.

  5. Di daftar Select a role, pilih peran CA Service Operation Manager.

  6. Klik Simpan.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Ganti kode berikut:

  • PROJECT_ID: ID unik project.
  • MEMBER: pengguna atau akun layanan yang ingin Anda tambahi peran IAM.

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud projects add-iam-policy-binding, lihat gcloud projects add-iam-policy-binding.

Secara opsional, pembuatan CA menggunakan kunci Cloud KMS yang ada juga mengharuskan pemanggil menjadi administrator untuk kunci Cloud KMS.

Admin Cloud KMS (roles/cloudkms.admin) memiliki akses penuh ke semua resource Cloud KMS, kecuali operasi enkripsi dan dekripsi. Untuk mengetahui informasi selengkapnya tentang peran IAM untuk Cloud KMS, lihat Cloud KMS: Izin dan peran.

Untuk memberikan peran Admin Cloud KMS (roles/cloudkms.admin) kepada pengguna, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Cloud Key Management Service.

    Buka Cloud Key Management Service

  2. Di bagian Key ring, klik key ring yang berisi kunci penandatanganan CA.

  3. Klik kunci yang merupakan kunci penandatanganan CA.

  4. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  5. Klik Add principal.

  6. Di kolom New principals, masukkan alamat email atau ID lain akun utama.

  7. Di daftar Select a role, pilih peran Cloud KMS Admin.

  8. Klik Simpan.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Ganti kode berikut:

  • KEY: ID unik kunci.
  • KEYRING: key ring yang berisi kunci. Untuk mengetahui informasi selengkapnya tentang key ring, lihat Key ring.
  • MEMBER: pengguna atau akun layanan yang ingin Anda tambahkan binding IAM-nya.

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud kms keys add-iam-policy-binding, lihat gcloud kms keys add-iam-policy-binding.

Mengaudit resource

Auditor Layanan CA (roles/privateca.auditor) memiliki akses baca ke semua resource di CA Service. Jika diberikan untuk kumpulan CA tertentu, peran ini akan memberikan akses baca ke kumpulan CA tersebut. Jika kumpulan CA berada di tingkat Enterprise, pengguna dengan peran ini juga dapat melihat sertifikat dan CRL yang diterbitkan oleh CA di kumpulan CA. Tetapkan peran ini kepada individu yang bertanggung jawab untuk memvalidasi keamanan dan operasi kumpulan CA.

Untuk menetapkan peran Auditor Layanan CA (roles/privateca.auditor) kepada pengguna di tingkat project, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman IAM.

    Buka Identity and Access Management

  2. Pilih project.

  3. Klik Grant access.

  4. Di kolom New principals, masukkan alamat email atau ID lain akun utama.

  5. Di daftar Select a role, pilih peran CA Service Auditor.

  6. Klik Simpan.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Ganti kode berikut:

  • PROJECT_ID: ID unik project.
  • MEMBER: ID unik pengguna yang ingin Anda tetapkan peran Auditor Layanan CA (roles/privateca.auditor).

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Mengonfigurasi binding kebijakan IAM di tingkat resource

Bagian ini menjelaskan cara mengonfigurasi binding kebijakan IAM untuk resource tertentu di CA Service.

Mengelola kumpulan CA

Anda dapat memberikan peran Admin Layanan CA (roles/privateca.admin) di tingkat resource untuk mengelola template sertifikat atau kumpulan CA tertentu.

Konsol

  1. Di konsol Google Cloud , buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik tab Pengelola kumpulan CA, lalu pilih kumpulan CA yang ingin Anda beri izin.

  3. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  4. Klik Add principal.

  5. Di kolom Akun utama baru, masukkan alamat email atau ID lain akun utama.

  6. Di daftar Select a role, pilih peran CA Service Admin.

  7. Klik Simpan. Akun utama diberi peran yang dipilih pada resource kumpulan CA.

gcloud

Untuk menetapkan kebijakan IAM, jalankan perintah berikut:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Ganti kode berikut:

  • POOL_ID: ID unik CA pool yang ingin Anda tetapkan kebijakan IAM-nya.
  • LOCATION: lokasi pool CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang ingin Anda tetapkan peran IAM-nya.

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools add-iam-policy-binding, lihat gcloud privateca pools add-iam-policy-binding.

Ikuti langkah-langkah yang sama untuk memberikan peran CA Service Admin pada template sertifikat.

Anda juga dapat memberikan peran CA Service Operation Manager (roles/privateca.caManager) pada kumpulan CA tertentu. Peran ini memungkinkan pemanggil mencabut sertifikat yang diterbitkan oleh CA di kumpulan CA tersebut.

Konsol

  1. Di konsol Google Cloud , buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik tab Pengelola kumpulan CA, lalu pilih kumpulan CA yang ingin Anda beri izin.

  3. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  4. Klik Add principal.

  5. Di kolom Akun utama baru, masukkan alamat email atau ID lain akun utama.

  6. Di daftar Select a role, pilih peran CA Service Operation Manager.

  7. Klik Simpan. Akun utama diberi peran yang dipilih pada resource kumpulan CA tempat CA berada.

gcloud

Untuk memberikan peran bagi CA pool tertentu, jalankan perintah gcloud berikut:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Ganti kode berikut:

  • POOL_ID: ID unik pool CA.
  • LOCATION: lokasi pool CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: ID unik pengguna yang ingin Anda tetapkan peran CA Service Operation Manager (roles/privateca.caManager).

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools add-iam-policy-binding, lihat gcloud privateca pools add-iam-policy-binding.

Membuat sertifikat

Berikan peran CA Service Certificate Manager (roles/privateca.certificateManager) kepada pengguna agar mereka dapat mengirimkan permintaan penerbitan sertifikat ke kumpulan CA. Peran ini juga memberikan akses baca ke resource CA Service. Untuk hanya mengizinkan pembuatan sertifikat tanpa akses baca, berikan peran CA Service Certificate Requester (roles/privateca.certificateRequester). Untuk mengetahui informasi selengkapnya tentang peran IAM untuk CA Service, lihat Kontrol akses dengan IAM.

Untuk memberikan akses kepada pengguna agar dapat membuat sertifikat untuk CA tertentu, gunakan petunjuk berikut.

Konsol

  1. Di konsol Google Cloud , buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik Pengelola kumpulan CA, lalu pilih kumpulan CA yang izinnya ingin Anda berikan.

  3. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  4. Klik Add principal.

  5. Di kolom Akun utama baru, masukkan alamat email atau ID lain akun utama.

  6. Di daftar Pilih peran, pilih peran CA Service Certificate Manager.

  7. Klik Simpan. Akun utama diberi peran yang dipilih pada resource kumpulan CA tempat CA berada.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Ganti kode berikut:

  • POOL_ID: ID unik pool CA.
  • LOCATION: lokasi pool CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: ID unik pengguna yang ingin Anda tetapkan peran CA Service Certificate Manager (roles/privateca.certificateManager).

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Menambahkan binding kebijakan IAM ke template sertifikat

Untuk menambahkan kebijakan IAM pada template sertifikat tertentu, gunakan petunjuk berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik tab Pengelola template, lalu pilih template sertifikat yang ingin Anda beri izin.

  3. Jika panel info tidak terlihat, klik Tampilkan panel info. Kemudian, klik Izin.

  4. Klik Add principal.

  5. Di kolom Akun utama baru, masukkan alamat email atau ID lain akun utama.

  6. Pilih peran yang akan diberikan dari menu drop-down Select a role.

  7. Klik Simpan.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ganti kode berikut:

  • LOCATION: lokasi template sertifikat. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: akun pengguna atau layanan yang ingin Anda tambahkan binding kebijakan IAM-nya.
  • ROLE: peran yang ingin Anda berikan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca templates add-iam-policy-binding, lihat gcloud privateca templates add-iam-policy-binding.

Untuk mengetahui informasi selengkapnya tentang cara mengubah peran IAM pengguna, lihat Memberikan akses.

Menghapus binding kebijakan IAM

Anda dapat menghapus binding kebijakan IAM yang ada menggunakan perintah remove-iam-policy-binding Google Cloud CLI.

Untuk menghapus kebijakan IAM pada kumpulan CA tertentu, gunakan perintah gcloud berikut:

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ganti kode berikut:

  • LOCATION: lokasi pool CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang ingin Anda hapus binding kebijakan IAM-nya.
  • ROLE: peran yang ingin Anda hapus untuk anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools remove-iam-policy-binding, lihat gcloud privateca pools remove-iam-policy-binding.

Untuk menghapus kebijakan IAM pada template sertifikat tertentu, gunakan perintah gcloud berikut:

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ganti kode berikut:

  • LOCATION: lokasi template sertifikat. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang ingin Anda hapus binding kebijakan IAM-nya.
  • ROLE: peran yang ingin Anda hapus untuk anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca templates remove-iam-policy-binding, lihat gcloud privateca templates remove-iam-policy-binding.

Untuk mengetahui informasi selengkapnya tentang cara menghapus peran IAM pengguna, lihat Mencabut akses.

Langkah berikutnya