Mengonfigurasi kebijakan IAM

Halaman ini menjelaskan cara mengonfigurasi kebijakan Identity and Access Management (IAM) yang memungkinkan anggota membuat dan mengelola resource Certificate Authority Service. Untuk mengetahui informasi selengkapnya tentang IAM, lihat Ringkasan IAM.

Kebijakan IAM umum

Di CA Service, Anda memberikan peran IAM kepada pengguna atau akun layanan untuk membuat dan mengelola resource CA Service. Anda dapat menambahkan binding peran ini di tingkat berikut:

  • Tingkat kumpulan CA untuk mengelola akses bagi kumpulan CA tertentu dan untuk CA dalam kumpulan CA tersebut.
  • Tingkat project atau tingkat organisasi untuk memberikan akses ke semua kumpulan CA dalam cakupan tersebut.

Peran diwarisi, jika diberikan pada tingkat resource yang lebih tinggi. Misalnya, pengguna yang diberi peran Auditor (roles/privateca.auditor) di tingkat project dapat melihat semua resource dalam project tersebut. Kebijakan IAM yang ditetapkan pada kumpulan certificate authority (CA) diwarisi oleh semua CA dalam kumpulan CA tersebut.

Peran IAM tidak dapat diberikan pada sertifikat dan resource CA.

Kebijakan IAM bersyarat

Jika Anda memiliki kumpulan CA bersama yang mungkin digunakan oleh beberapa pengguna yang diizinkan untuk meminta berbagai jenis sertifikat, Anda dapat menentukan kondisi IAM untuk menerapkan akses berbasis atribut guna melakukan operasi tertentu pada kumpulan CA.

Binding peran bersyarat IAM memungkinkan Anda memberikan akses ke akun utama hanya jika kondisi tertentu terpenuhi. Misalnya, jika peran Peminta Sertifikat terikat ke pengguna alice@example.com pada kumpulan CA dengan kondisi bahwa SAN DNS yang diminta adalah subset dari ['alice@example.com', 'bob@example.com'], maka pengguna tersebut dapat meminta sertifikat dari kumpulan CA yang sama hanya jika SAN yang diminta adalah salah satu dari dua nilai yang diizinkan tersebut. Anda dapat menetapkan kondisi pada binding IAM menggunakan ekspresi Common Expression Language (CEL). Kondisi ini dapat membantu Anda lebih membatasi jenis sertifikat yang dapat diminta pengguna. Untuk mengetahui informasi tentang penggunaan ekspresi CEL untuk kondisi IAM, lihat Dialek Common Expression Language (CEL) untuk kebijakan IAM.

Sebelum memulai

  • Kemudian aktifkan API
  • Buat CA dan kumpulan CA dengan mengikuti petunjuk di salah satu panduan memulai.
  • Baca tentang peran IAM yang tersedia untuk Certificate Authority Service.

Mengonfigurasi binding kebijakan IAM di tingkat project

Skenario berikut menjelaskan cara Anda dapat memberikan akses kepada pengguna ke resource CA Service di tingkat project.

Mengelola resource

Admin CA Service (roles/privateca.admin) memiliki izin untuk mengelola semua resource CA Service, dan menetapkan kebijakan IAM pada kumpulan CA dan template sertifikat.

Untuk menetapkan peran Admin CA Service (roles/privateca.admin) kepada pengguna di tingkat project, gunakan petunjuk berikut:

Konsol

  1. Di Google Cloud konsol, buka halaman IAM.

    Buka Identity and Access Management

  2. Pilih project.

  3. Klik Grant access.

  4. Di kolom New principals, masukkan alamat email atau ID lain dari akun utama.

  5. Di daftar Select a role, pilih peran CA Service Admin.

  6. Klik Save.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Ganti kode berikut:

  • PROJECT_ID: ID unik project
  • MEMBER: pengguna atau akun layanan yang ingin Anda tetapkan peran Admin CA Service

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Membuat resource

CA Service Operation Manager (roles/privateca.caManager) dapat membuat, memperbarui, dan menghapus kumpulan CA dan CA. Peran ini juga memungkinkan pemanggil mencabut sertifikat yang diterbitkan oleh CA dalam kumpulan CA.

Untuk menetapkan peran CA Service Operation Manager (roles/privateca.caManager) kepada pengguna di tingkat project, gunakan petunjuk berikut:

Konsol

  1. Di Google Cloud konsol, buka halaman IAM.

    Buka Identity and Access Management

  2. Pilih project.

  3. Klik Grant access.

  4. Di kolom New principals, masukkan alamat email atau ID lain dari akun utama.

  5. Di daftar Select a role, pilih peran CA Service Operation Manager.

  6. Klik Save.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Ganti kode berikut:

  • PROJECT_ID: ID unik project
  • MEMBER: pengguna atau akun layanan yang ingin Anda tambahkan peran IAM-nya

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud projects add-iam-policy-binding, lihat gcloud projects add-iam-policy-binding.

Secara opsional, pembuatan CA menggunakan kunci Cloud KMS yang ada juga mengharuskan pemanggil menjadi administrator untuk kunci Cloud KMS.

Admin Cloud KMS (roles/cloudkms.admin) memiliki akses lengkap ke semua resource Cloud KMS, kecuali operasi enkripsi dan dekripsi. Untuk mengetahui informasi selengkapnya tentang peran IAM untuk Cloud KMS, lihat Cloud KMS: Izin dan peran.

Untuk memberikan peran Admin Cloud KMS (roles/cloudkms.admin) kepada pengguna, gunakan petunjuk berikut:

Konsol

  1. Di Google Cloud konsol, buka halaman Cloud Key Management Service.

    Buka Cloud Key Management Service

  2. Di bagian Key rings, klik key ring yang berisi kunci penandatanganan CA.

  3. Klik kunci yang merupakan kunci penandatanganan CA.

  4. Jika panel info tidak terlihat, klik Show info panel. Kemudian, klik Permissions.

  5. Klik Add principal.

  6. Di kolom New principals, masukkan alamat email atau ID lain dari akun utama.

  7. Di daftar Select a role, pilih peran Cloud KMS Admin.

  8. Klik Save.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Ganti kode berikut:

  • KEY: ID unik kunci
  • KEYRING: key ring yang berisi kunci. Untuk mengetahui informasi selengkapnya tentang key ring, lihat Key ring.
  • MEMBER: pengguna atau akun layanan yang Anda ingin tambahkan binding IAM-nya

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud kms keys add-iam-policy-binding, lihat gcloud kms keys add-iam-policy-binding.

Resource audit

CA Service Auditor (roles/privateca.auditor) memiliki akses baca ke semua resource di CA Service. Jika diberikan untuk kumpulan CA tertentu, peran ini akan memberikan akses baca ke kumpulan CA tersebut. Jika kumpulan CA berada di paket Enterprise, pengguna dengan peran ini juga dapat melihat sertifikat dan CRL yang diterbitkan oleh CA dalam kumpulan CA tersebut. Tetapkan peran ini kepada individu yang bertanggung jawab untuk memvalidasi keamanan dan operasi kumpulan CA.

Untuk menetapkan peran CA Service Auditor (roles/privateca.auditor) kepada pengguna di tingkat project, gunakan petunjuk berikut:

Konsol

  1. Di Google Cloud konsol, buka halaman IAM.

    Buka Identity and Access Management

  2. Pilih project.

  3. Klik Grant access.

  4. Di kolom New principals, masukkan alamat email atau ID lain dari akun utama.

  5. Di daftar Select a role, pilih peran CA Service Auditor.

  6. Klik Save.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Ganti kode berikut:

  • PROJECT_ID: ID unik project
  • MEMBER: ID unik pengguna yang ingin Anda tetapkan peran CA Service Auditor (roles/privateca.auditor)

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Mengonfigurasi binding kebijakan IAM di tingkat resource

Bagian ini menjelaskan cara mengonfigurasi binding kebijakan IAM untuk resource tertentu di CA Service.

Mengelola kumpulan CA

Anda dapat memberikan peran Admin CA Service (roles/privateca.admin) di tingkat resource untuk mengelola kumpulan CA atau template sertifikat tertentu.

Konsol

  1. Di Google Cloud konsol, buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik tab CA pool manager, lalu pilih kumpulan CA yang ingin Anda berikan izinnya.

  3. Jika panel info tidak terlihat, klik Show info panel. Kemudian, klik Permissions.

  4. Klik Add principal.

  5. Di kolom New principals, masukkan alamat email atau ID lain dari akun utama.

  6. Di daftar Select a role, pilih peran CA Service Admin.

  7. Klik Save. Akun utama diberi peran yang dipilih pada resource kumpulan CA.

gcloud

Untuk menetapkan kebijakan IAM, jalankan perintah berikut:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Ganti kode berikut:

  • POOL_ID: ID unik kumpulan CA yang ingin Anda tetapkan kebijakan IAM-nya
  • LOCATION: lokasi kumpulan CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang ingin Anda tetapkan peran IAM-nya

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools add-iam-policy-binding, lihat gcloud privateca pools add-iam-policy-binding.

Ikuti langkah-langkah yang sama untuk memberikan peran Admin CA Service pada template sertifikat.

Anda juga dapat memberikan peran CA Service Operation Manager (roles/privateca.caManager) pada kumpulan CA tertentu. Peran ini memungkinkan pemanggil mencabut sertifikat yang diterbitkan oleh CA dalam kumpulan CA tersebut.

Konsol

  1. Di Google Cloud konsol, buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik tab CA pool manager, lalu pilih kumpulan CA yang ingin Anda berikan izinnya.

  3. Jika panel info tidak terlihat, klik Show info panel. Kemudian, klik Permissions.

  4. Klik Add principal.

  5. Di kolom New principals, masukkan alamat email atau ID lain dari akun utama.

  6. Di daftar Select a role, pilih peran CA Service Operation Manager.

  7. Klik Save. Akun utama diberi peran yang dipilih pada resource kumpulan CA yang dimiliki CA.

gcloud

Untuk memberikan peran bagi kumpulan CA tertentu, jalankan perintah gcloud berikut:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Ganti kode berikut:

  • POOL_ID: ID unik kumpulan CA
  • LOCATION: lokasi kumpulan CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: ID unik pengguna yang Anda ingin tetapkan peran CA Service Operation Manager (roles/privateca.caManager)

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools add-iam-policy-binding, lihat gcloud privateca pools add-iam-policy-binding.

Membuat sertifikat

Berikan peran CA Service Certificate Manager (roles/privateca.certificateManager) kepada pengguna agar mereka dapat mengirimkan permintaan penerbitan sertifikat ke kumpulan CA. Peran ini juga memberikan akses baca ke resource CA Service. Untuk hanya mengizinkan pembuatan sertifikat tanpa akses baca, berikan peran CA Service Certificate Requester (roles/privateca.certificateRequester). Untuk mengetahui informasi selengkapnya tentang peran IAM untuk CA Service, lihat Kontrol akses dengan IAM.

Untuk memberikan akses kepada pengguna untuk membuat sertifikat bagi CA tertentu, gunakan petunjuk berikut.

Konsol

  1. Di Google Cloud konsol, buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik CA pool manager, lalu pilih kumpulan CA yang Anda inginkan untuk memberikan izin.

  3. Jika panel info tidak terlihat, klik Show info panel. Kemudian, klik Permissions.

  4. Klik Add principal.

  5. Di kolom New principals, masukkan alamat email atau ID lain dari akun utama.

  6. Di daftar Select a role, pilih peran CA Service Certificate Manager.

  7. Klik Save. Akun utama diberi peran yang dipilih pada resource kumpulan CA yang dimiliki CA.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Ganti kode berikut:

  • POOL_ID: ID unik kumpulan CA
  • LOCATION: lokasi kumpulan CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: ID unik pengguna yang ingin Anda tetapkan peran CA Service Certificate Manager (roles/privateca.certificateManager)

Flag --role menentukan peran IAM yang ingin Anda tetapkan kepada anggota.

Menambahkan binding kebijakan IAM ke template sertifikat

Untuk menambahkan kebijakan IAM pada template sertifikat tertentu, gunakan petunjuk berikut:

Konsol

  1. Di Google Cloud konsol, buka halaman Certificate Authority Service.

    Buka Certificate Authority Service

  2. Klik tab Template manager, lalu pilih template sertifikat yang ingin Anda berikan izinnya.

  3. Jika panel info tidak terlihat, klik Show info panel. Kemudian, klik Permissions.

  4. Klik Add principal.

  5. Di kolom New principals, masukkan alamat email atau ID lain dari akun utama.

  6. Pilih peran yang akan diberikan dari menu drop-down Select a role.

  7. Klik Save.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ganti kode berikut:

  • LOCATION: lokasi template sertifikat. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang Anda ingin tambahkan binding kebijakan IAM-nya
  • ROLE: peran yang ingin Anda berikan kepada anggota

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca templates add-iam-policy-binding, lihat gcloud privateca templates add-iam-policy-binding.

Untuk mengetahui informasi selengkapnya tentang cara mengubah peran IAM pengguna, lihat Memberikan akses.

Menghapus binding kebijakan IAM

Anda dapat menghapus binding kebijakan IAM yang ada menggunakan perintah remove-iam-policy-binding Google Cloud CLI.

Untuk menghapus kebijakan IAM pada kumpulan CA tertentu, gunakan perintah gcloud berikut:

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ganti kode berikut:

  • LOCATION: lokasi kumpulan CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang Anda ingin hapus binding kebijakan IAM-nya
  • ROLE: peran yang ingin Anda hapus untuk anggota

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools remove-iam-policy-binding, lihat gcloud privateca pools remove-iam-policy-binding.

Untuk menghapus kebijakan IAM pada template sertifikat tertentu, gunakan perintah gcloud berikut:

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Ganti kode berikut:

  • LOCATION: lokasi template sertifikat. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
  • MEMBER: pengguna atau akun layanan yang Anda ingin hapus binding kebijakan IAM-nya
  • ROLE: peran yang ingin Anda hapus untuk anggota

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca templates remove-iam-policy-binding, lihat gcloud privateca templates remove-iam-policy-binding.

Untuk mengetahui informasi selengkapnya tentang cara menghapus peran IAM pengguna, lihat Mencabut akses.

Langkah berikutnya