Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Kontrol akses dengan IAM

Halaman ini menjelaskan cara mengontrol akses ke resource Perlindungan Data Sensitif.

Perlindungan Data Sensitif menggunakan Identity and Access Management (IAM) untuk mengontrol akses ke resource. IAM adalah alat untuk mengelola otorisasi terperinci untuk resource Anda Google Cloud . Dengan kata lain, IAM memungkinkan Anda mengontrol siapa yang dapat melakukan apa pada resource mana.

Untuk memberikan akses ke resource kepada pengguna dengan IAM, Anda memberikan peran tertentu kepada mereka. Peran IAM memberikan izin kepada entitas untuk melakukan tugas pada resource Sensitive Data Protection Anda.

Untuk mengetahui informasi mendetail tentang IAM dan fiturnya, lihat dokumentasi IAM.

Mengelola akses ke resource Perlindungan Data Sensitif

Cara paling umum untuk mengelola akses dengan IAM adalah menggunakan kebijakan izinkan. Kebijakan izinkan mencantumkan akun utama yang memiliki akses ke resource dan tindakan apa yang dapat mereka lakukan pada resource tersebut.

Bagian berikut menjelaskan cara memberikan dan mencabut satu peran dengan kebijakan izinkan menggunakan Google Cloud konsol dan Google Cloud CLI. Anda juga dapat memberikan dan mencabut beberapa peran secara bersamaan. Untuk mengetahui informasi selengkapnya, lihat Mengelola akses ke project, folder, dan organisasi dalam dokumentasi IAM.

Bagian ini berfokus pada pemberian dan pencabutan akses di tingkat project, yang mengontrol a akses pengguna ke project dan semua resource dalam project.

Anda juga dapat menggunakan kebijakan izinkan yang dilampirkan ke resource yang berbeda Google Cloud untuk mengelola akses di tingkat hierarki resource lainnya. Untuk mempelajari lebih lanjut, lihat Menggunakan hierarki resource untuk akses kontrol dalam dokumentasi IAM.

Tidak semua resource mendukung kebijakan izinkan. Untuk mempelajari resource mana yang dapat Anda lampirkan kebijakan izinkan, lihat Resource yang mendukung kebijakan izinkan dalam dokumentasi IAM.

Untuk mempelajari kebijakan lain yang dapat Anda gunakan untuk mengontrol akses dengan IAM, seperti kebijakan tolak, lihat Jenis kebijakan IAM dalam dokumentasi IAM.

Memberikan satu peran IAM

Untuk memberikan satu peran ke akun utama, lakukan hal berikut:

Konsol

Di Google Cloud konsol, buka halaman IAM.
Buka IAM
Pilih project, folder, atau organisasi.
Pilih akun utama yang akan diberi peran:
- Untuk memberikan peran tambahan kepada akun utama di resource, temukan baris yang berisi akun utama, klik Edit akun utama di baris tersebut, lalu klik Tambahkan peran lain.
  Untuk memberikan peran kepada agen layanan, centang kotak Sertakan Google-pemberian peran yang disediakan untuk melihat alamat emailnya.
  
  Catatan: Anda tidak dapat mengedit peran yang diwariskan saat mengelola akses ke resource. Untuk mengedit peran yang diwariskan, buka resource tempat peran diberikan.
- Untuk memberikan peran kepada akun utama yang tidak memiliki peran pada resource, klik Berikan Akses, lalu masukkan ID akun utama—misalnya, my-user@example.com atau //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
Pilih peran yang akan diberikan dari menu drop-down. Untuk praktik keamanan terbaik, pilih peran yang hanya menyertakan izin yang diperlukan oleh akun utama Anda.
Opsional: Tambahkan kondisi ke peran.
Klik Simpan. Akun utama diberi peran pada resource.

gcloud

Catatan: Untuk memberikan peran Pemilik (roles/owner) pada project kepada pengguna di luar organisasi Anda, Anda harus menggunakan Google Cloud konsol, bukan gcloud CLI. Jika project Anda bukan bagian dari sebuah organisasi, Anda harus menggunakan Google Cloud konsol untuk memberikan peran Pemilik.

Di konsol, aktifkan Cloud Shell. Google Cloud

Aktifkan Cloud Shell

Di bagian bawah konsol Google Cloud , sesi Cloud Shell akan dimulai dan menampilkan prompt command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi pada sesi.
Perintah add-iam-policy-binding memungkinkan Anda memberikan peran ke akun utama dengan cepat.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- RESOURCE_TYPE: Jenis resource yang aksesnya ingin Anda kelola. Gunakan projects, resource-manager folders, atau organizations.
- RESOURCE_ID: ID project, folder, atau organisasi Anda. Google Cloud Project ID berupa alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
- PRINCIPAL: ID untuk akun utama, atau anggota, yang biasanya memiliki bentuk berikut: PRINCIPAL_TYPE:ID. Misalnya, user:my-user@example.com atau principalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com. Untuk daftar lengkap nilai yang dapat dimiliki PRINCIPAL, lihat ID principal.
  
  Untuk jenis akun utama user, nama domain dalam ID harus berupa domain Google Workspace atau Cloud Identity. Untuk mempelajari cara menyiapkan domain Cloud Identity, lihat ringkasan Cloud Identity.
- ROLE_NAME: Nama peran yang ingin Anda berikan. Gunakan salah satu format berikut:
  - Peran bawaan: roles/SERVICE.IDENTIFIER
  - Peran khusus level project: projects/PROJECT_ID/roles/IDENTIFIER
  - Peran khusus level organisasi: organizations/ORG_ID/roles/IDENTIFIER
  Untuk mengetahui daftar peran bawaan, lihat Memahami peran.
- CONDITION: Kondisi yang akan ditambahkan ke binding peran. Jika Anda tidak ingin menambahkan kondisi, gunakan nilai None. Untuk informasi selengkapnya tentang kondisi, lihat ringkasan kondisi.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
```
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID \
    --member=PRINCIPAL --role=ROLE_NAME \
    --condition=CONDITION
```
Windows (PowerShell)
```
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID `
    --member=PRINCIPAL --role=ROLE_NAME `
    --condition=CONDITION
```
Windows (cmd.exe)
```
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ^
    --member=PRINCIPAL --role=ROLE_NAME ^
    --condition=CONDITION
```
Respons berisi kebijakan izinkan IAM yang diperbarui.

Mencabut satu peran IAM

Untuk mencabut peran tunggal dari akun utama, lakukan hal berikut:

Konsol

Di Google Cloud konsol, buka halaman IAM.
Buka IAM
Pilih project, folder, atau organisasi.
Cari baris yang berisi akun utama yang aksesnya ingin Anda cabut. Kemudian, klik Edit akun utama di baris tersebut.
Catatan: Anda tidak dapat mengedit peran yang diwariskan saat mengelola akses ke resource. Untuk mengedit peran yang diwariskan, buka resource tempat peran diberikan.
Klik tombol Hapus untuk peran yang ingin Anda cabut, lalu klik Simpan.

gcloud

Di konsol, aktifkan Cloud Shell. Google Cloud

Aktifkan Cloud Shell

Di bagian bawah konsol Google Cloud , sesi Cloud Shell akan dimulai dan menampilkan prompt command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi pada sesi.
Untuk mencabut peran dari pengguna, jalankan perintah remove-iam-policy-binding:
```
gcloud RESOURCE_TYPE remove-iam-policy-binding RESOURCE_ID \
    --member=PRINCIPAL --role=ROLE_NAME
```
Berikan nilai berikut:
- RESOURCE_TYPE: Jenis resource yang ingin Anda kelola aksesnya. Gunakan projects, resource-manager folders, atau organizations.
- RESOURCE_ID: ID project, folder, atau organisasi Anda. Google Cloud Project ID berupa alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
- PRINCIPAL: ID untuk akun utama, atau anggota, yang biasanya memiliki bentuk berikut: PRINCIPAL_TYPE:ID. Misalnya, user:my-user@example.com atau principalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
  Untuk jenis akun utama user, nama domain dalam ID harus berupa domain Google Workspace atau Cloud Identity. Untuk mempelajari cara menyiapkan domain Cloud Identity, lihat ringkasan Cloud Identity.
- ROLE_NAME: Nama peran yang ingin Anda cabut. Gunakan salah satu format berikut:
  - Peran bawaan: roles/SERVICE.IDENTIFIER
  - Peran khusus level project: projects/PROJECT_ID/roles/IDENTIFIER
  - Peran khusus level organisasi: organizations/ORG_ID/roles/IDENTIFIER
  Untuk mengetahui daftar peran bawaan, lihat Memahami peran.
Misalnya, untuk mencabut peran Project Creator dari akun layanan example-service-account@example-project.iam.gserviceaccount.com untuk project example-project:
```
gcloud projects remove-iam-policy-binding example-project \
      --member=serviceAccount:example-service-account@example-project.iam.gserviceaccount.com \
      --role=roles/resourcemanager.projectCreator
```

Untuk membantu menghindari pencabutan peran yang diperlukan, Anda dapat mengaktifkan rekomendasi risiko perubahan. Rekomendasi risiko perubahan akan memunculkan peringatan saat Anda mencoba mencabut peran level project yang diidentifikasi sebagai hal penting. Google Cloud

Akses bersyarat

IAM Conditions memungkinkan Anda membuat kebijakan yang lebih terperinci dengan memberikan akses ke akun utama hanya jika kondisi tertentu yang ditentukan terpenuhi. Kondisi didasarkan pada atribut yang terkait dengan akun utama, resource, dan permintaan. Misalnya, Anda dapat memberikan akses ke akun utama hanya jika mereka mengakses resource dari lokasi tertentu atau pada waktu tertentu.

Kondisi dalam kebijakan izinkan didasarkan pada jenis atribut berikut:

Atribut resource: Mencakup layanan, jenis, atau nama resource. Atribut ini biasanya digunakan untuk mengubah cakupan akses yang diberikan oleh binding peran.
Atribut permintaan: Mencakup detail permintaan, seperti waktu atau tingkat akses akun utama yang membuat permintaan. Atribut ini memungkinkan Anda membuat kondisi yang mengevaluasi detail tentang permintaan, seperti tingkat akses, tanggal dan waktu, port dan alamat IP tujuan, atau jalur URL yang diharapkan.

Untuk mengetahui informasi selengkapnya tentang atribut kondisi yang didukung oleh Perlindungan Data Sensitif, lihat Referensi atribut untuk IAM Conditions dalam dokumentasi IAM.

Anda tidak dapat memberikan akses bersyarat langsung pada resource Sensitive Data Protection. Namun, Anda dapat memberikan akses bersyarat ke jenis resource Sensitive Data Protection dengan memberikan peran kepada akun utama pada resource penampung, seperti project, folder, atau organisasi, dan menambahkan kondisi ke binding peran ini. Kondisi yang ditambahkan ke kebijakan izinkan resource penampung diwarisi oleh resource yang disertakan dalam resource penampung tersebut. Untuk mengetahui informasi selengkapnya tentang kondisi yang diwariskan, lihat Dukungan untuk kondisi yang diwariskan dalam dokumentasi IAM.

Untuk mempelajari cara menambahkan kondisi ke binding peran, lihat Mengelola binding peran bersyarat dalam dokumentasi IAM.

Langkah berikutnya

Untuk mempelajari lebih lanjut kontrol akses dengan IAM, lihat ringkasan IAM.
Untuk melihat peran dan izin yang tersedia untuk Perlindungan Data Sensitif, lihat Peran dan izin Perlindungan Data Sensitif.
Pelajari lebih lanjut cara layanan penemuan data sensitif menggunakan penampung agen layanan dan agen layanan untuk membuat profil resource data Anda.

Kontrol akses dengan IAM Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Mengelola akses ke resource Perlindungan Data Sensitif

Memberikan satu peran IAM

Konsol

gcloud

Linux, macOS, atau Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Mencabut satu peran IAM

Konsol

gcloud

Akses bersyarat

Langkah berikutnya

Kontrol akses dengan IAM