Membuat kebijakan akses terbatas

Halaman ini menjelaskan cara membuat dan mendelegasikan kebijakan akses terbatas.

Sebelum memulai

  • Baca tentang kebijakan cakupan.

  • Baca cara memberikan akses ke Kontrol Layanan VPC.

  • Pastikan administrator yang didelegasikan yang didelegasikan oleh kebijakan akses terbatas memiliki izin cloudasset.assets.searchAllResources di folder atau project tempat kebijakan cakupan tersebut terikat. Izin ini diperlukan oleh administrator yang didelegasikan untuk menelusuri semua resource Google Cloud.

  • Baca cara mengonfigurasi perimeter layanan.

Membuat kebijakan akses terbatas

Membuat kebijakan akses terbatas dan mendelegasikan administrasi ke folder dan project di organisasi. Setelah membuat kebijakan akses terbatas, Anda tidak dapat mengubah cakupan kebijakan tersebut. Untuk mengubah cakupan kebijakan yang sudah ada, hapus kebijakan, lalu buat ulang kebijakan dengan cakupan yang baru.

Konsol

  1. Di menu navigasi Konsol Google Cloud, klik Security, lalu klik VPC Service Controls.

    Buka Kontrol Layanan VPC

  2. Jika diminta, pilih organisasi, folder, atau project Anda.

  3. Di halaman Kontrol Layanan VPC, pilih kebijakan akses yang merupakan induk dari kebijakan cakupan. Misalnya, Anda dapat memilih kebijakan organisasi default policy.

  4. Klik Kelola kebijakan.

  5. Di halaman Manage VPC Service Controls, klik Create.

  6. Di halaman Create access policy, dalam kotak Access policy name, ketik nama untuk kebijakan restricted access.

    Nama kebijakan akses terbatas dapat memiliki panjang maksimum 50 karakter, harus diawali dengan huruf, dan hanya dapat berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), atau garis bawah (_). Nama kebijakan akses terbatas peka huruf besar/kecil dan harus unik dalam kebijakan akses organisasi.

  7. Untuk menentukan cakupan kebijakan akses, klik Cakupan.

  8. Tentukan project atau folder sebagai cakupan kebijakan akses.

    • Untuk memilih project yang ingin ditambahkan ke cakupan kebijakan akses, lakukan hal berikut:

      1. Di panel Scopes, klik Add project.

      2. Dalam dialog Add project, pilih kotak centang project tersebut.

      3. Klik Done. Project yang ditambahkan akan muncul di bagian Cakupan.

    • Untuk memilih folder yang ingin ditambahkan ke cakupan kebijakan akses, lakukan hal berikut:

      1. Di panel Scopes, klik Add folder.

      2. Dalam dialog Add folder, pilih kotak centang folder tersebut.

      3. Klik Done. Folder yang ditambahkan akan muncul di bagian Cakupan.

  9. Untuk mendelegasikan administrasi kebijakan akses terbatas, klik Akun.

  10. Untuk menentukan utama dan peran yang ingin Anda ikat ke kebijakan akses, lakukan tindakan berikut:

    1. Di panel Principals, klik Add principals.

    2. Pada dialog Add principals, pilih akun utama, seperti nama pengguna atau akun layanan.

    3. Pilih peran yang ingin dikaitkan dengan akun utama, seperti peran baca dan editor.

    4. Klik Simpan. Kepala sekolah dan peran yang ditambahkan akan muncul di bagian Kepala sekolah.

  11. Di halaman Buat kebijakan akses, klik Buat kebijakan akses.

gcloud

Untuk membuat kebijakan akses terbatas, gunakan perintah gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Dengan keterangan:

  • ORGANIZATION_ID adalah ID numerik organisasi Anda.

  • POLICY_TITLE adalah judul yang dapat dibaca manusia untuk kebijakan Anda. Judul kebijakan dapat memiliki panjang maksimum 50 karakter, harus diawali dengan huruf, dan hanya dapat berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), atau garis bawah (_). Judul kebijakan peka huruf besar/kecil dan harus unik dalam kebijakan akses organisasi.

  • SCOPE adalah folder atau project tempat kebijakan ini berlaku. Anda hanya dapat menentukan satu folder atau project sebagai cakupan, dan cakupan tersebut harus ada dalam organisasi yang ditentukan. Jika Anda tidak menentukan cakupan, kebijakan tersebut akan berlaku untuk seluruh organisasi.

Output berikut akan muncul (dengan POLICY_NAME adalah ID numerik unik untuk kebijakan yang ditetapkan oleh Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Untuk mendelegasikan administrasi dengan mengikat akun utama dan peran dengan kebijakan akses terbatas, gunakan perintah add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Dengan keterangan:

  • POLICY adalah ID kebijakan atau ID yang sepenuhnya memenuhi syarat untuk kebijakan.

  • PRINCIPAL adalah akun utama yang akan ditambahi binding. Tentukan dalam format berikut: user|group|serviceAccount:email atau domain:domain.

  • ROLE adalah nama peran yang akan ditetapkan ke akun utama. Nama peran adalah jalur lengkap dari peran yang telah ditetapkan, seperti roles/accesscontextmanager.policyEditor, atau ID peran untuk peran khusus, misalnya organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

Untuk membuat kebijakan akses terbatas, lakukan hal berikut:

  1. Buat isi permintaan.

    {
     "parent": "ORGANIZATION_ID",
     "scope": "SCOPE"
     "title": "POLICY_TITLE"
    }

    Dengan keterangan:

    • ORGANIZATION_ID adalah ID numerik organisasi Anda.

    • SCOPE adalah folder atau project tempat kebijakan ini berlaku.

    • POLICY_TITLE adalah judul yang dapat dibaca manusia untuk kebijakan Anda. Judul kebijakan dapat memiliki panjang maksimum 50 karakter, harus diawali dengan huruf, dan hanya dapat berisi huruf Latin ASCII (a-z, A-Z), angka (0-9), atau garis bawah (_). Judul kebijakan peka huruf besar/kecil dan harus unik dalam kebijakan akses organisasi.

  2. Buat kebijakan akses dengan memanggil accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Isi respons

Jika berhasil, isi respons untuk panggilan berisi resource Operation yang memberikan detail tentang operasi POST.

Untuk mendelegasikan administrasi kebijakan akses terbatas, lakukan langkah berikut:

  1. Buat isi permintaan.

    {
     "policy": "IAM_POLICY",
    }

    Dengan keterangan:

    • IAM_POLICY adalah kumpulan binding. Binding mengikat satu atau beberapa anggota, atau akun utama, ke satu peran. Kepala sekolah dapat berupa akun pengguna, akun layanan, grup Google, dan domain. Peran merupakan sekumpulan izin yang memiliki nama. Setiap peran dapat berupa peran IAM yang telah ditetapkan atau peran khusus yang dibuat pengguna.
  2. Delegasikan kebijakan akses dengan memanggil accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Isi respons

Jika berhasil, isi respons berisi instance policy.

Langkah selanjutnya