Halaman ini diterjemahkan oleh Cloud Translation API.

Menerapkan akses berbasis sertifikat untuk grup pengguna

Halaman ini menjelaskan cara menerapkan akses berbasis sertifikat (CBA) menggunakan kebijakan Akses Kontekstual yang didasarkan pada grup pengguna.

Anda dapat membatasi akses ke semua Google Cloud layanan dengan mengikat tingkat akses CBA ke grup pengguna. Batasan ini berlaku untuk semua aplikasi klien yang memanggil API Google Cloud .

Secara opsional, Anda dapat menerapkan batasan ke aplikasi klien tertentu atau mengecualikan aplikasi tertentu. Aplikasi ini mencakup aplikasi pihak ketiga dan aplikasi pihak pertama yang dibuat oleh Google, seperti Cloud Console untuk konsol Google Cloud dan Google Cloud SDK untuk Google Cloud CLI.

Sebelum memulai

Buat tingkat akses CBA yang memerlukan sertifikat saat menentukan akses ke resource.

Membuat grup pengguna

Buat grup pengguna yang berisi anggota yang harus diberi akses berdasarkan tingkat akses CBA.

Tetapkan peran Cloud Access Binding Admin

Tetapkan peran Admin Binding Akses Cloud ke grup pengguna.

Anda harus memiliki hak istimewa yang memadai untuk menambahkan izin IAM di tingkat organisasi. Anda memerlukan setidaknya peran Admin Organisasi dan Admin Pengikatan Akses Cloud.

Konsol

Di konsol, buka IAM.
Buka IAM
Di tab Izin, klik Berikan akses, lalu konfigurasi berikut:
1. Akun utama baru: Tentukan grup yang ingin Anda beri peran.
2. Untuk opsi Select a role, pilih Access Context Manager > Cloud Access Binding Admin.
3. Klik Simpan.

gcloud

Login:
```
gcloud auth login
```
Tetapkan peran GcpAccessAdmin dengan menjalankan perintah berikut:
```
gcloud organizations add-iam-policy-binding ORG_ID \
  --member=user:EMAIL \
  --role=roles/accesscontextmanager.gcpAccessAdmin
```
- ORG_ID adalah ID untuk organisasi Anda. Jika belum memiliki ID organisasi, Anda dapat menggunakan perintah berikut untuk menemukannya:
```
 gcloud organizations list
```
- EMAIL adalah alamat email orang atau grup yang ingin Anda beri peran.
Catatan: Untuk akses hanya baca ke binding, Anda dapat menetapkan peran accesscontextmanager.gcpAccessReader.

Mengikat tingkat akses CBA ke grup pengguna

Dalam opsi pengikatan ini, tingkat akses CBA berlaku untuk semua aplikasi klien bagi grup pengguna yang Anda tentukan.

Di konsol, buka Chrome Enterprise Premium.
Buka Chrome Enterprise Premium
Pilih organisasi, lalu klik Pilih.
Klik Kelola akses untuk memilih grup pengguna yang harus memiliki akses.
Klik Tambahkan, lalu konfigurasi setelan berikut:
1. Grup anggota: Tentukan grup yang ingin Anda beri akses. Anda hanya dapat memilih grup yang belum terikat ke tingkat akses.
2. Pilih tingkat akses: Pilih tingkat akses CBA yang akan diterapkan ke grup.
3. Klik Simpan.

Mengikat tingkat akses CBA ke grup pengguna dan aplikasi tertentu

Dalam beberapa kasus penggunaan, seperti aplikasi yang mendukung sertifikat klien, mengikat tingkat akses CBA ke grup pengguna mungkin terlalu luas. Anda dapat menggunakan opsi ini untuk menerapkan tingkat akses CBA ke aplikasi yang mendukung sertifikat klien.

Contoh berikut mengikat tingkat akses CBA ke Google Cloud konsol, gcloud CLI, dan aplikasi OAuth pengguna.

Buat file policy_file.yaml.

Anda dapat menentukan aplikasi menggunakan client ID OAuth-nya. Untuk menentukan aplikasi Google, gunakan nama aplikasi, seperti Cloud Console untuk konsol Google Cloud . Hanya aplikasi Google Google Cloud console dan Google Cloud SDK yang didukung.

scopedAccessSettings:
- scope:
    clientScope:
      restrictedClientApplication:
        name: Cloud Console
  activeSettings:
    accessLevels:
    - CBA_ACCESS_LEVEL
- scope:
    clientScope:
      restrictedClientApplication:
        name: Google Cloud SDK
  activeSettings:
    accessLevels:
    - CBA_ACCESS_LEVEL
- scope:
    clientScope:
      restrictedClientApplication:
        clientId: CLIENT_ID_1
  activeSettings:
    accessLevels:
    - CBA_ACCESS_LEVEL

Ganti kode berikut:

CLIENT_ID_1: ID klien OAuth.
CBA_ACCESS_LEVEL: Nama tingkat akses CBA dalam format accessPolicies/POLICY_ID/accessLevels/ACCESS_LEVEL_NAME.

Buat binding tingkat akses CBA.
```
gcloud access-context-manager cloud-bindings create \
  --group-key='GROUP_KEY' \
  --organization='ORG_ID' \
  --binding-file=.../policy_file.yaml
```
Ganti GROUP_KEY dengan grup Akses Kontekstual dan ORG_ID dengan ID organisasi Anda.

Jika Anda tidak memiliki GROUP_KEY yang tersedia, Anda dapat mengambilnya dengan memanggil metode get pada resource grup.
(Opsional) Perbarui binding tingkat akses yang ada.
```
gcloud access-context-manager cloud-bindings update \
  --binding='BINDING_NAME' \
  --binding-file=.../policy_file.yaml
```
Ganti BINDING_NAME dengan nama binding yang dibuat secara otomatis saat binding dibuat.

Mengecualikan aplikasi dari binding

Cara lain untuk menerapkan tingkat akses CBA tanpa memblokir aplikasi klien yang tidak mendukung sertifikat klien adalah dengan mengecualikan aplikasi tersebut dari kebijakan.

Langkah-langkah berikut mengasumsikan bahwa Anda sebelumnya telah membuat tingkat akses CBA yang memerlukan sertifikat saat menentukan akses ke resource.

Buat tingkat akses pengecualian menggunakan salah satu metode berikut.
- Tingkat akses kustom: Berikan true sebagai nilai dalam kondisi ekspresi CEL.
- Tingkat akses dasar: Buat tingkat akses berbasis rentang IP dengan memberikan subnet IP 0.0.0.0/0 dan ::/0, yang masing-masing sesuai dengan IPv4 dan IPv6.

Buat file exemption_file.yaml.

scopedAccessSettings:
- scope:
    clientScope:
      restrictedClientApplication:
        clientId: CLIENT_ID_2
  activeSettings:
    accessLevels:
    - EXEMPT_ACCESS_LEVEL
- scope:
    clientScope:
      restrictedClientApplication:
        name: APPLICATION_NAME_2
  activeSettings:
    accessLevels:
    - EXEMPT_ACCESS_LEVEL