Identity and Access Management (IAM) menawarkan beberapa jenis kebijakan untuk membantu Anda mengontrol resource yang dapat diakses oleh akun utama. Halaman ini membantu Anda memahami perbedaan antara cara Anda menggunakan dan mengelola jenis kebijakan ini.
Jenis kebijakan IAM di Google Cloud
IAM menawarkan jenis kebijakan berikut:
- Kebijakan izin
- Kebijakan tolak
- Kebijakan batas akses utama (PAB)
- Kebijakan akses
Tabel berikut merangkum perbedaan antara jenis kebijakan ini:
| Kebijakan | Fungsi kebijakan | API yang digunakan untuk mengelola kebijakan | Hubungan antara kebijakan dan target | Metode melampirkan kebijakan ke target | Resource induk kebijakan |
|---|---|---|---|---|---|
| Kebijakan izin | Memberi pokok akses ke resource | API untuk resource yang ingin Anda kelola kebijakan izinnya |
Hubungan one-to-one Setiap kebijakan izin dilampirkan ke satu resource; setiap resource hanya dapat memiliki satu kebijakan izin |
Tentukan resource saat membuat kebijakan | Sama dengan resource yang menjadi tujuan kebijakan izin |
| Kebijakan tolak | Memastikan bahwa akun utama tidak dapat menggunakan izin tertentu | IAM v2 API |
Hubungan one-to-many Setiap kebijakan penolakan dilampirkan ke satu resource; setiap resource dapat memiliki hingga 500 kebijakan penolakan |
Menentukan resource saat membuat kebijakan penolakan | Sama dengan resource tempat kebijakan penolakan dilampirkan |
| Kebijakan PAB | Membatasi resource yang dapat diakses oleh akun utama | IAM v3 API |
Hubungan many-to-many Setiap kebijakan PAB dapat dilampirkan ke sejumlah set akun utama yang tidak terbatas; setiap set akun utama dapat memiliki hingga 10 kebijakan PAB yang terikat padanya |
Buat binding kebijakan yang melampirkan kebijakan PAB ke set akun utama | Organisasi |
| Kebijakan akses | Memberi atau menolak akses akun utama ke resource untuk layanan yang didukung | IAM v3 API |
Hubungan many-to-many Setiap kebijakan akses dapat dilampirkan ke hingga 5 resource; setiap resource dapat memiliki hingga 5 kebijakan akses yang terikat padanya |
Buat binding kebijakan akses yang melampirkan kebijakan akses ke resource | Project, folder, atau organisasi tempat kebijakan akses dibuat |
Bagian berikut memberikan detail tentang setiap jenis kebijakan.
Kebijakan untuk memberikan akses ke akun utama
Untuk memberikan akses pokok ke resource, gunakan salah satu kebijakan berikut:
- Gunakan kebijakan izin untuk memberikan akses ke jenis resource apa pun.
- Gunakan kebijakan akses untuk memberikan akses ke resource Eventarc.
Kebijakan izin memungkinkan Anda memberikan akses ke resource di Google Cloud. Kebijakan izin terdiri dari binding peran dan metadata. Binding peran menentukan akun utama mana yang harus memiliki peran tertentu pada resource.
Kebijakan izin selalu dilampirkan ke satu resource. Setelah Anda melampirkan kebijakan izinkan ke resource, kebijakan tersebut akan diwariskan oleh turunan resource tersebut.
Untuk membuat dan menerapkan kebijakan izin, Anda mengidentifikasi resource yang menerima kebijakan
izin, lalu menggunakan metode
setIamPolicy resource tersebut untuk membuat kebijakan izin. Semua akun utama dalam kebijakan
izinkan diberi peran yang ditentukan pada resource dan semua turunan
resource tersebut. Setiap resource hanya dapat memiliki satu kebijakan izin yang dilampirkan.
Untuk mengetahui informasi selengkapnya tentang kebijakan izin, lihat Memahami kebijakan izin.
Kebijakan akses memungkinkan Anda mengontrol akses ke resource Eventarc. Kebijakan akses dapat mengizinkan dan menolak akses ke resource. Untuk membuat dan menerapkan kebijakan akses, Anda membuat kebijakan akses, lalu membuat pengikatan kebijakan untuk menghubungkan kebijakan tersebut ke project dengan resource Eventarc.Setiap binding kebijakan mengikat satu kebijakan akses ke satu resource. Kebijakan akses dapat terikat ke maksimal 5 resource. Setiap resource dapat memiliki hingga 5 kebijakan akses yang terikat padanya. Jika kebijakan akses dihapus, semua binding kebijakan yang terkait dengan kebijakan tersebut juga akan dihapus.
Untuk mempelajari lebih lanjut cara menggunakan kebijakan akses guna mengontrol akses ke resource Eventarc, lihat dokumentasi Eventarc.
Kebijakan untuk menolak akses ke akun utama
Untuk menolak akses prinsipal ke resource, gunakan salah satu opsi berikut:
- Gunakan kebijakan penolakan untuk menolak akses untuk jenis resource apa pun.
- Gunakan kebijakan akses untuk menolak akses bagi resource Eventarc.
Kebijakan tolak, seperti kebijakan izin, selalu dilampirkan ke satu resource. Anda dapat melampirkan kebijakan penolakan ke project, folder, atau organisasi. Project, folder, atau organisasi ini juga berfungsi sebagai induk kebijakan dalam hierarki resource. Setelah Anda melampirkan kebijakan penolakan ke resource, kebijakan tersebut akan diwariskan oleh turunan resource tersebut.
Untuk membuat dan menerapkan kebijakan penolakan, Anda menggunakan IAM v2 API. Saat membuat kebijakan penolakan, Anda menentukan resource yang akan dikaitkan dengan kebijakan penolakan tersebut. Semua akun utama dalam kebijakan penolakan dicegah menggunakan izin yang ditentukan untuk mengakses resource tersebut dan semua turunan resource tersebut. Setiap resource dapat memiliki hingga 500 kebijakan penolakan yang dilampirkan.
Untuk mengetahui informasi selengkapnya tentang kebijakan penolakan, lihat Kebijakan penolakan.
Kebijakan akses memungkinkan Anda mengontrol akses ke resource Eventarc. Kebijakan akses dapat mengizinkan dan menolak akses ke resource. Untuk membuat dan menerapkan kebijakan akses, Anda membuat kebijakan akses, lalu membuat binding kebijakan untuk menghubungkan kebijakan tersebut ke project dengan resource Eventarc.Setiap binding kebijakan mengikat satu kebijakan akses ke satu resource. Kebijakan akses dapat terikat ke maksimal 5 resource. Setiap resource dapat memiliki hingga 5 kebijakan akses yang terikat padanya. Jika kebijakan akses dihapus, semua binding kebijakan yang terkait dengan kebijakan tersebut juga akan dihapus.
Untuk mempelajari lebih lanjut cara menggunakan kebijakan akses guna mengontrol akses ke resource Eventarc, lihat dokumentasi Eventarc.
Kebijakan untuk membatasi resource yang dapat diakses oleh akun utama
Untuk membatasi resource yang dapat diakses oleh principal, gunakan kebijakan batas akses principal. Kebijakan batas akses utama tersedia di IAM v3 API.
Untuk membuat dan menerapkan kebijakan batas akses principal, Anda membuat kebijakan batas akses principal, lalu membuat pengikatan kebijakan untuk menghubungkan kebijakan tersebut ke set principal.
Kebijakan batas akses utama selalu merupakan turunan dari organisasi Anda. Binding kebijakan untuk kebijakan batas akses utama adalah turunan dari project, folder, atau organisasi yang paling dekat dengan set utama yang dirujuk dalam binding kebijakan.
Setiap binding kebijakan mengikat satu kebijakan batas akses akun utama ke satu set akun utama. Kebijakan batas akses akun utama dapat terikat ke sejumlah set akun utama. Setiap set akun utama dapat memiliki hingga 10 kebijakan batas akses akun utama yang terikat padanya. Jika kebijakan batas akses utama dihapus, semua pengikatan kebijakan yang terkait dengan kebijakan tersebut juga akan dihapus.
Untuk mengetahui informasi selengkapnya tentang kebijakan batas akses utama, lihat Kebijakan batas akses utama.
Evaluasi kebijakan
Saat akun utama mencoba mengakses resource, IAM mengevaluasi semua kebijakan izin, tolak, dan batas akses akun utama yang relevan untuk melihat apakah akun utama diizinkan mengakses resource. Jika salah satu kebijakan ini menunjukkan bahwa akun utama tidak boleh mengakses resource, IAM akan mencegah akses.
Pada kenyataannya, IAM mengevaluasi semua jenis kebijakan secara bersamaan, lalu mengompilasi hasilnya untuk menentukan apakah akun utama dapat mengakses resource. Namun, akan lebih baik jika evaluasi kebijakan ini dilakukan dalam tahapan berikut:
-
IAM memeriksa semua kebijakan batas akses akun utama yang relevan untuk melihat apakah akun utama memenuhi syarat untuk mengakses resource. Kebijakan batas akses akun utama relevan jika hal berikut berlaku:
- Kebijakan terikat ke set akun utama yang mencakup akun utama
- Kebijakan batas akses utama memblokir izin yang coba digunakan oleh akun utama. Izin yang diblokir oleh kebijakan batas akses utama bergantung pada versi kebijakan batas akses utama. Anda menentukan versi kebijakan saat membuat kebijakan batas akses utama. Untuk mengetahui informasi selengkapnya, lihat Versi kebijakan batas akses utama.
Setelah memeriksa kebijakan batas akses akun utama yang relevan, IAM melakukan salah satu hal berikut:
- Jika kebijakan batas akses utama yang relevan tidak menyertakan resource yang coba diakses oleh akun utama, atau jika IAM tidak dapat mengevaluasi kebijakan batas akses utama yang relevan, maka IAM akan mencegah akun utama mengakses resource.
- Jika kebijakan batas akses akun utama yang relevan mencakup resource yang coba diakses oleh akun utama, IAM akan melanjutkan ke langkah berikutnya.
- Jika tidak ada kebijakan batas akses utama yang relevan, maka IAM akan melanjutkan ke langkah berikutnya.
-
IAM memeriksa semua kebijakan tolak yang relevan untuk melihat apakah akun utama telah ditolak izinnya. Kebijakan penolakan yang relevan adalah kebijakan penolakan yang dilampirkan ke resource, serta kebijakan penolakan yang diwariskan.
- Jika salah satu dari kebijakan tolak ini mencegah akun utama menggunakan izin yang diperlukan, IAM akan mencegah akun utama mengakses resource.
- Jika tidak ada kebijakan tolak yang mencegah akun utama menggunakan izin yang diperlukan, IAM akan melanjutkan ke langkah berikutnya.
-
IAM memeriksa semua kebijakan izin yang relevan untuk melihat apakah akun utama memiliki izin yang diperlukan. Kebijakan izin yang relevan adalah kebijakan izin yang dilampirkan ke resource, serta semua kebijakan izin yang diwariskan.
- Jika akun utama tidak memiliki izin yang diperlukan, maka IAM akan mencegahnya mengakses resource.
- Jika akun utama memiliki izin yang diperlukan, IAM akan mengizinkannya mengakses resource.
Diagram berikut menunjukkan alur evaluasi kebijakan ini:
Langkah berikutnya
- Pelajari lebih lanjut tentang kebijakan izin.
- Pelajari lebih lanjut kebijakan penolakan.
- Pelajari lebih lanjut kebijakan batas akses prinsipal.