Memberikan dan mencabut akses ke API

Mengontrol siapa saja yang memiliki akses ke API adalah bagian integral dari pengembangan. Misalnya, saat menguji API, Anda mungkin ingin mengotomatiskan deployment ulang konfigurasi Cloud Endpoints yang telah diupdate dengan menggunakan akun layanan yang memiliki izin untuk melakukannya. Secara default, hanya pemilik project yang dapat mengelola akses ke API. Halaman ini menunjukkan cara memberikan dan mencabut akses ke API Anda menggunakan Google Cloud konsol atau Google Cloud CLI.

Endpoints menggunakan peran Identity and Access Management untuk memberikan dan mencabut akses di tingkat API. Anda dapat memberikan dan mencabut akses ke pengguna, akun layanan, atau Grup Google.

Grup Google adalah cara mudah untuk memberikan atau mencabut akses ke kumpulan pengguna. Anda dapat memberikan atau mencabut akses untuk seluruh grup sekaligus, sehingga tidak perlu memberikan atau mencabut akses satu per satu untuk pengguna individu atau akun layanan. Anda juga dapat dengan mudah menambahkan anggota ke Grup Google dan menghapus anggota dari Grup Google, bukan memberikan atau mencabut peran IAM untuk setiap anggota.

Memberikan akses

KonsolGoogle Cloud

  1. Di konsol Google Cloud , buka halaman Endpoints > Services untuk project Anda.

    Buka halaman Endpoints Services

  2. Jika Anda memiliki lebih dari satu API, klik nama API.
  3. Jika panel samping Izin tidak terbuka, klik Izin.
  4. Di kotak Tambahkan anggota, masukkan alamat email pengguna, akun layanan, atau Grup Google.
  5. Di menu drop-down Pilih peran, klik Pengelolaan Layanan, lalu pilih salah satu peran berikut:
    • Service Consumer: Peran ini berisi izin bagi anggota non-project untuk melihat dan mengaktifkan API di projectnya sendiri. Jika Anda telah membuat portal untuk API, peran ini memungkinkan pengguna API Anda mengakses portal.
    • Pengontrol Layanan: Peran ini berisi izin untuk melakukan panggilan ke metode check dan report di Service Infrastructure API selama runtime.
    • Service Config Editor: Peran ini berisi izin minimum yang diperlukan Service Management untuk men-deploy konfigurasi Endpoints ke layanan yang ada.
    • Administrator Pengelolaan Layanan: Peran ini berisi izin dalam peran Editor Konfigurasi Layanan, Konsumen Layanan, dan Pengontrol Layanan, serta izin yang diperlukan untuk memberikan akses ke API ini menggunakan gcloud atau metode terprogram yang dijelaskan dalam Memberi, mengubah, dan mencabut akses ke resource.

    Lihat topik Kontrol akses Service Management API untuk mengetahui informasi tentang peran ini. Meskipun konsol Google Cloud memungkinkan Anda memilih peran lain, peran tersebut tidak berguna untuk mengelola API Anda.

  6. Untuk menambahkan anggota ke peran IAM yang ditentukan, klik Tambahkan.
  7. Ulangi penambahan anggota dan pemilihan peran sesuai kebutuhan.
  8. Peran Pengelolaan Layanan tidak mengizinkan pengguna mengakses halaman Endpoints > Services di konsol Google Cloud . Jika Anda ingin pengguna dapat mengakses halaman Endpoints > Services, Anda harus memberi mereka peran Project Viewer atau peran yang lebih tinggi di project. Lihat Memberikan, mengubah, dan mencabut akses ke resource untuk mengetahui detailnya.

gcloud

  1. Buka Cloud Shell, atau jika Anda telah menginstal Google Cloud CLI, buka jendela terminal.
  2. Masukkan perintah gcloud yang sesuai:
    • Jika Anda memberikan akses kepada pengguna, jalankan perintah berikut:
      gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
  --member='user:[EMAIL-ADDRESS]' \
  --role='[ROLE]'

      Untuk peran, tentukan salah satu peran IAM berikut:

      • roles/servicemanagement.configEditor: Peran ini berisi izin minimum yang diperlukan Service Management untuk men-deploy konfigurasi Endpoints ke layanan yang ada.
      • roles/servicemanagement.admin: Peran ini berisi izin di roles/servicemanagement.configEditor, roles/servicemanagement.serviceConsumer, dan roles/servicemanagement.serviceController, serta izin yang diperlukan untuk memberikan akses ke API ini menggunakan gcloud atau metode terprogram yang dijelaskan dalam Memberi, mengubah, dan mencabut akses ke resource.

      Contoh: 

      gcloud endpoints services add-iam-policy-binding example-service-name \
  --member='user:example-user@gmail.com' \
  --role='roles/servicemanagement.admin'

    • Jika Anda memberikan akses ke akun layanan, jalankan perintah berikut:
      gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
  --member='serviceAccount:[EMAIL-ADDRESS]' \
  --role='[ROLE]'

      Contoh: 

      gcloud endpoints services add-iam-policy-binding example-service-name \
  --member='serviceAccount:example-service-account@example-project.iam.gserviceaccount.com' \
  --role='roles/servicemanagement.configEditor'

    • Jika Anda memberikan akses ke Google Grup, jalankan perintah berikut:
      gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
  --member='group:[GROUP-NAME]@googlegroups.com' \
  --role='[ROLE]'

      Contoh: 

      gcloud endpoints services add-iam-policy-binding example-service-name \
  --member='group:example-group@googlegroups.com' \
  --role='roles/servicemanagement.configEditor'

  3. Peran Pengelolaan Layanan tidak mengizinkan pengguna mengakses halaman Endpoints > Services di konsol Google Cloud . Jika Anda ingin pengguna dapat mengakses halaman Endpoints > Services, Anda harus memberi mereka peran Project Viewer atau peran yang lebih tinggi di project. Lihat Memberikan, mengubah, dan mencabut akses ke resource untuk mengetahui detailnya.

Mencabut akses

Untuk mencabut akses ke API Anda, hapus peran IAM dari anggota yang sebelumnya memiliki peran tersebut.

KonsolGoogle Cloud

  1. Di konsol Google Cloud , buka halaman Endpoints > Services untuk project Anda.

    Buka halaman Endpoints Services

  2. Jika Anda memiliki lebih dari satu API, klik nama API.
  3. Jika panel samping Izin tidak terbuka, klik Izin.
  4. Cari anggota yang aksesnya ingin Anda cabut. Anda dapat mengklik kartu Peran yang berlaku untuk melihat daftar anggota, atau memasukkan nama atau peran di kotak Telusuri anggota.
  5. Klik Hapus .
  6. Jika Anda juga ingin mencabut akses pengguna ke project Google Cloud Anda, lihat Memberikan, mengubah, dan mencabut akses ke resource untuk mengetahui detailnya.

gcloud

  1. Buka Cloud Shell, atau, jika Anda telah menginstal gcloud CLI, buka jendela terminal.
  2. Masukkan perintah gcloud yang sesuai:
    • Jika Anda mencabut akses pengguna, jalankan perintah berikut: 
      gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
  --member='user:[EMAIL-ADDRESS]' \
  --role='[ROLE-NAME]'

      Contoh:

      gcloud endpoints services remove-iam-policy-binding example-service-name \
  --member='user:example-user@gmail.com' \
  --role='roles/editor'
    • Jika Anda mencabut akses untuk akun layanan, jalankan perintah berikut: 
      gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
  --member='serviceAccount:[EMAIL-ADDRESS]' \
  --role='[ROLE-NAME]'

      Contoh:

      gcloud endpoints services remove-iam-policy-binding example-service-name \
  --member='serviceAccount:example-service-account@example-project.iam.gserviceaccount.com' \
  --role='roles/servicemanagement.configEditor'
    • Jika Anda mencabut akses untuk Grup Google, jalankan perintah berikut: 
      gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
      --member='group:[GROUP-NAME]@googlegroups.com' \
      --role='[ROLE-NAME]'

      Contoh:

      gcloud endpoints services remove-iam-policy-binding example-service-name \
      --member='group:example-group@googlegroups.com' \
      --role='roles/viewer'
  3. Jika Anda juga ingin mencabut akses pengguna ke project Google Cloud Anda, lihat Memberikan, mengubah, dan mencabut akses ke resource untuk mengetahui detailnya.

Langkah berikutnya

Pelajari: