Otorisasi dan kontrol akses

Identity and Access Management (IAM) adalah alat yang memungkinkan Anda mengontrol siapa yang dapat melakukan apa di lingkungan Google Cloud Anda.

Akses dikontrol dengan izin IAM, yang diperlukan untuk menggunakan resource apa pun di lingkungan Google Cloud . Jika Anda diberi izin untuk menggunakan resource, Anda diizinkan untuk mengakses resource tersebut. Tanpa otorisasi yang tepat, Anda tidak dapat mengakses Google Cloud resource.

Izin dan peran

Untuk menggunakan resource, akun pengguna Anda harus memiliki izin yang relevan untuk mengakses resource tersebut.

Biasanya, administrator IAM Anda bertanggung jawab untuk mengontrol akses ke resource. Administrator Anda dapat memberi Anda izin untuk mengakses satu resource atau semua resource dalam project, folder, atau organisasi. Administrator memberikan izin yang relevan ke akun pengguna Anda dalam paket yang disebut peran. Selama akun pengguna Anda memiliki peran dengan izin yang sesuai, Anda dapat menggunakan peran tersebut untuk mengakses resource. Google Cloud

Secara umum, alur kerja untuk melakukan tindakan pada resource apa pun di lingkunganGoogle Cloud Anda terlihat seperti ini:

1. Anda ingin melakukan tindakan pada resource—misalnya, mengupload objek ke bucket Cloud Storage—tetapi Anda tidak memiliki izin yang sesuai. Tanpa izin, Anda tidak dapat melakukan tindakan.
2. Anda dapat meminta izin yang diperlukan dari administrator IAM melalui sistem pengelolaan permintaan pilihan Anda atau langsung dari pesan error izin di konsol Google Cloud .
3. Administrator IAM Anda memberikan peran yang berisi izin yang sesuai ke akun pengguna Anda. Sekarang Anda dapat melakukan tindakan.

Menggunakan IAM sebagai administrator

Administrator biasanya bertanggung jawab untuk memberikan peran kepada pengguna sehingga mereka dapat mengakses Google Cloud resource. Pengguna diwakili oleh identitas terautentikasi yang dikenal sebagai akun utama.

Memberikan peran kepada akun utama pada resource melibatkan pengeditan kebijakan izinkan yang dilampirkan ke resource. Kebijakan izin mencantumkan prinsipal yang memiliki akses ke resource dan tindakan apa yang dapat mereka lakukan pada resource tersebut. IAM menggunakan kebijakan izin untuk menentukan apakah akun utama memiliki izin yang diperlukan untuk mengakses resource. Oleh karena itu, untuk memberikan akses akun utama ke resource tertentu, Anda harus memperbarui kebijakan izin untuk resource tersebut dengan akun utama dan peran yang ingin Anda berikan.

Administrator dapat memberikan peran kepada principal pada jenis resource berikut:

• Project, folder, dan organisasi: Resource ini adalah resource penampung yang digunakan untuk menyusun hierarki resource Anda. Peran yang Anda berikan pada resource penampung ini berlaku untuk semua resource khusus layanan yang ada di dalamnya.
• Resource khusus layanan: Resource ini adalah fitur atau komponen yang ditawarkan oleh layanan. Misalnya, Compute Engine memiliki resource seperti instance, disk, dan subnetwork. Memberikan peran pada resource khusus layanan memberikan kontrol akses yang lebih terperinci daripada memberikan peran pada resource penampung, karena membatasi akses pengguna hanya ke resource tersebut.

Kontrol akses lanjutan dengan IAM

Kebijakan izin adalah metode paling umum untuk mengontrol akses ke Google Cloud lingkungan dengan IAM. Namun, IAM juga menawarkan opsi kontrol akses lain yang lebih canggih, termasuk opsi berikut:

• Jenis kebijakan tambahan, seperti kebijakan tolak dan batas akses utama
• Kontrol akses berbasis atribut bersyarat
• Kontrol akses sementara seperti Privileged Access Manager (PAM)

Bentuk kontrol akses lainnya

Meskipun IAM adalah metode kontrol akses utama untukGoogle Cloud, ada layanan Google Cloud lain yang dapat memengaruhi akses pengguna ke resource.

Berikut adalah beberapa contoh layanan lain yang dapat memengaruhi akses pengguna:

• Access Context Manager: Access Context Manager memungkinkan Anda menentukan kontrol akses berbasis atribut yang terperinci untuk project dan resource di Google Cloud.
• Identity-Aware Proxy (IAP): IAP menggunakan model kontrol akses tingkat aplikasi tempat Anda membuat lapisan otorisasi pusat untuk aplikasi yang diakses oleh HTTPS.
• Layanan Kebijakan Organisasi: Kebijakan Organisasi memungkinkan Anda mengonfigurasi batasan di seluruh hierarki resource untuk memberi Anda kontrol terpusat dan terprogram atas resource cloud organisasi Anda.
• Kontrol Layanan VPC: Kontrol Layanan VPC memungkinkan Anda menentukan perimeter yang membantu melindungi Google Cloud resource dan data Google Cloud layanan yang Anda tentukan secara eksplisit.

Langkah berikutnya

• Untuk mengetahui deskripsi yang lebih mendalam tentang sistem IAM dan cara kerjanya, lihat halaman ringkasan IAM di dokumentasi IAM.
• Untuk mengetahui informasi tentang pesan error IAM, lihat bagian Memecahkan masalah pesan error izin dalam dokumentasi IAM.