Grup pengguna dan peran Identity and Access Management yang direkomendasikan

Tabel berikut menjelaskan peran Identity and Access Management (IAM) yang kami rekomendasikan sebagai titik awal untuk menjalankan beban kerja di Google Cloud. Konfigurasi peran IAM Anda untuk menerapkan pemisahan tugas dalam lingkungan Anda dan agar selaras dengan toleransi risiko dan struktur organisasi Anda.

Saat Anda menetapkan peran ini ke grup pengguna di organisasi Anda, pertimbangkan tempat Anda perlu menerapkan peran yang lebih terperinci untuk menangani kasus penggunaan dan persyaratan akses data tertentu. Untuk lingkungan tempat data yang sangat sensitif digunakan (misalnya, Anda menggunakan data sensitif untuk melatih model), lihat Mengimpor data ke data warehouse BigQuery yang aman untuk mengetahui informasi selengkapnya tentang peran yang dapat Anda gunakan untuk mengizinkan akses ke data yang disimpan.

Tabel berikut menjelaskan rekomendasi peran. Terapkan rekomendasi dasar dan rekomendasi khusus kasus penggunaan yang sesuai.

Layanan Grup Deskripsi Peran IAM

Dasar

grp-gcp-org-admin

Grup ini mengelola resource milik organisasi. Tetapkan peran ini dengan hemat. Administrator organisasi memiliki akses ke semua Google Cloud resource Anda. Sebagai alternatif karena fungsi ini sangat istimewa, pertimbangkan untuk menggunakan akun perorangan, bukan membuat grup.
  • Administrator organisasi (roles/resourcemanager.organizationAdmin)
  • Folder Admin (roles/resourcemanager.folderAdmin)
  • Project Creator (roles/resourcemanager.projectCreator)
  • Billing Account User (roles/billing.user)
  • Administrator Peran Organisasi (roles/iam.organizationRoleAdmin)
  • Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin)
  • Security Center Admin (roles/securitycenter.admin)
  • Support Account Administrator (roles/cloudsupport.admin)

Dasar

grp-gcp-network-admins

Grup ini dapat membuat jaringan, subnet, aturan firewall, dan perangkat jaringan seperti Cloud Router, Cloud VPN, dan load balancer cloud.
  • Admin Jaringan Compute (roles/compute.networkAdmin)
  • Compute Shared VPC Admin (roles/compute.xpnAdmin)
  • Compute Security Admin.(roles/compute.securityAdmin)
  • Folder Viewer (roles/resourcemanager.folderViewer)

Dasar

grp-gcp-billing-admin

Grup ini menyiapkan akun penagihan dan memantau penggunaannya.
  • Administrator Akun Penagihan (roles/billing.admin)
  • Billing Account Creator (roles/billing.creator)
  • Organization Viewer (roles/resourcemanager.organizationViewer)

Dasar

grp-gcp-security-admins

Grup ini menetapkan dan mengelola kebijakan keamanan untuk seluruh organisasi, termasuk kebijakan pengelolaan akses dan batasan organisasi. Untuk merencanakan infrastruktur keamanan Anda, lihat blueprint fondasi Enterprise. Google Cloud

  • BigQuery Data Viewer (roles/bigquery.dataViewer)
  • Compute Viewer (roles/compute.viewer)
  • Folder IAM Admin (roles/resourcemanager.folderIamAdmin)
  • Kubernetes Engine Viewer (roles/container.viewer)
  • Logs Configuration Writer (roles/logging.configWriter)
  • Organization Role Viewer (roles/iam.organizationRoleViewer)
  • Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin)
  • Organization Policy Viewer (roles/orgpolicy.policyViewer)
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Reviewer (roles/iam.securityReviewer)

Dasar

grp-gcp-billing-viewer

Grup ini memantau pengeluaran pada project. Biasanya anggota grup adalah bagian dari tim keuangan.
  • Billing Account Viewer (roles/billing.viewer)

Dasar

grp-gcp-platform-viewer

Grup ini meninjau informasi resource di seluruh organisasi Google Cloud.
  • Pelihat (roles/viewer)

Dasar

grp-gcp-security-reviewer

Grup ini meninjau keamanan cloud.
  • Security Reviewer (roles/iam.securityReviewer)

Dasar

grp-gcp-network-viewer

Grup ini meninjau konfigurasi jaringan.
  • Penampil Jaringan Compute (roles/compute.networkViewer)

Dasar

grp-gcp-audit-viewer

Grup ini dapat melihat log audit.
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Pelihat (roles/viewer)

Dasar

grp-gcp-scc-admin

Grup ini mengelola Security Command Center.
  • Security Center Admin (roles/securitycenter.admin)

Dasar

grp-gcp-secrets-admin

Grup ini mengelola secret di Secret Manager.
  • Secret Manager Admin (roles/secretmanager.admin)

Administrator Agent Platform

grp-gcp-vertex-ai-admin

Grup ini memiliki akses penuh ke semua resource di Agent Platform.
  • Vertex AI Administrator (roles/aiplatform.admin)

Pelihat Agent Platform

grp-gcp-vertex-ai-viewer

Grup ini melihat semua resource di Agent Platform.
  • Vertex AI Viewer (roles/aiplatform.viewer)

Pengguna Agent Platform

grp-gcp-vertex-ai-user

Grup ini menggunakan semua resource di Agent Platform.
  • Pengguna Vertex AI (roles/aiplatform.user)

Administrator Workbench Platform Agen

grp-gcp-vertex-ai-notebook-admin

Grup ini memiliki akses penuh ke semua template runtime dan runtime di Agent Platform Workbench.
  • Admin Runtime Notebook (roles/aiplatform.notebookRuntimeAdmin)

Pengguna Workbench Platform Agen

grp-gcp-vertex-ai-notebook-user

Grup ini membuat resource runtime menggunakan template runtime dan mengelola resource runtime yang mereka buat.
  • Pengguna Runtime Notebook (roles/aiplatform.notebookRuntimeUser)

Langkah berikutnya