Identity and Access Management (IAM) menawarkan beberapa jenis kebijakan untuk membantu Anda mengontrol resource yang dapat diakses oleh akun utama. Halaman ini membantu Anda memahami perbedaan antara cara Anda menggunakan dan mengelola jenis kebijakan ini.
Jenis kebijakan IAM di Cloud de Confiance
IAM menawarkan jenis kebijakan berikut:
- Kebijakan izin
- Kebijakan tolak
Tabel berikut merangkum perbedaan antara jenis kebijakan ini:
| Kebijakan | Fungsi kebijakan | API yang digunakan untuk mengelola kebijakan | Hubungan antara kebijakan dan target | Metode melampirkan kebijakan ke target | Resource induk kebijakan |
|---|---|---|---|---|---|
| Kebijakan izin | Memberi pokok akses ke resource | API untuk resource yang ingin Anda kelola kebijakan izinnya |
Hubungan one-to-one Setiap kebijakan izin dilampirkan ke satu resource; setiap resource hanya dapat memiliki satu kebijakan izin |
Tentukan resource saat membuat kebijakan | Sama dengan resource yang menjadi tujuan kebijakan izin |
| Kebijakan tolak | Memastikan bahwa akun utama tidak dapat menggunakan izin tertentu | IAM v2 API |
Hubungan one-to-many Setiap kebijakan penolakan dilampirkan ke satu resource; setiap resource dapat memiliki hingga 500 kebijakan penolakan |
Menentukan resource saat membuat kebijakan penolakan | Sama dengan resource tempat kebijakan penolakan dilampirkan |
Bagian berikut memberikan detail tentang setiap jenis kebijakan.
Kebijakan untuk memberikan akses ke akun utama
Untuk memberikan akses pokok ke resource, gunakan salah satu kebijakan berikut:
- Gunakan kebijakan izin untuk memberikan akses ke jenis resource apa pun.
- Gunakan kebijakan akses untuk memberikan akses ke resource Eventarc.
Kebijakan izin memungkinkan Anda memberikan akses ke resource di Cloud de Confiance. Kebijakan izin terdiri dari binding peran dan metadata. Binding peran menentukan akun utama mana yang harus memiliki peran tertentu pada resource.
Kebijakan izin selalu dilampirkan ke satu resource. Setelah Anda melampirkan kebijakan izinkan ke resource, kebijakan tersebut akan diwariskan oleh turunan resource tersebut.
Untuk membuat dan menerapkan kebijakan izin, Anda mengidentifikasi resource yang menerima kebijakan
izin, lalu menggunakan metode
setIamPolicy resource tersebut untuk membuat kebijakan izin. Semua akun utama dalam kebijakan
izinkan diberi peran yang ditentukan pada resource dan semua turunan
resource tersebut. Setiap resource hanya dapat memiliki satu kebijakan izin yang dilampirkan.
Untuk mengetahui informasi selengkapnya tentang kebijakan izin, lihat Memahami kebijakan izin.
Kebijakan untuk menolak akses ke akun utama
Untuk menolak akses prinsipal ke resource, gunakan salah satu opsi berikut:
- Gunakan kebijakan penolakan untuk menolak akses untuk jenis resource apa pun.
- Gunakan kebijakan akses untuk menolak akses bagi resource Eventarc.
Kebijakan tolak, seperti kebijakan izin, selalu dilampirkan ke satu resource. Anda dapat melampirkan kebijakan penolakan ke project, folder, atau organisasi. Project, folder, atau organisasi ini juga berfungsi sebagai induk kebijakan dalam hierarki resource. Setelah Anda melampirkan kebijakan penolakan ke resource, kebijakan tersebut akan diwariskan oleh turunan resource tersebut.
Untuk membuat dan menerapkan kebijakan penolakan, Anda menggunakan IAM v2 API. Saat membuat kebijakan penolakan, Anda menentukan resource yang akan dikaitkan dengan kebijakan penolakan tersebut. Semua akun utama dalam kebijakan penolakan dicegah menggunakan izin yang ditentukan untuk mengakses resource tersebut dan semua turunan resource tersebut. Setiap resource dapat memiliki hingga 500 kebijakan penolakan yang dilampirkan.
Untuk mengetahui informasi selengkapnya tentang kebijakan penolakan, lihat Kebijakan penolakan.
Evaluasi kebijakan
Saat akun utama mencoba mengakses resource, IAM mengevaluasi semua kebijakan izin dan tolak yang relevan untuk melihat apakah akun utama diizinkan untuk mengakses resource. Jika salah satu kebijakan ini menunjukkan bahwa akun utama tidak boleh dapat mengakses resource, IAM akan mencegah akses.
Pada kenyataannya, IAM mengevaluasi semua jenis kebijakan secara bersamaan, lalu mengompilasi hasilnya untuk menentukan apakah akun utama dapat mengakses resource. Namun, akan lebih baik jika evaluasi kebijakan ini dilakukan dalam tahapan berikut:
-
IAM memeriksa semua kebijakan tolak yang relevan untuk melihat apakah akun utama telah ditolak izinnya. Kebijakan penolakan yang relevan adalah kebijakan penolakan yang dilampirkan ke resource, serta kebijakan penolakan yang diwariskan.
- Jika salah satu dari kebijakan tolak ini mencegah akun utama menggunakan izin yang diperlukan, IAM akan mencegah akun utama mengakses resource.
- Jika tidak ada kebijakan tolak yang mencegah akun utama menggunakan izin yang diperlukan, IAM akan melanjutkan ke langkah berikutnya.
-
IAM memeriksa semua kebijakan izin yang relevan untuk melihat apakah akun utama memiliki izin yang diperlukan. Kebijakan izin yang relevan adalah kebijakan izin yang dilampirkan ke resource, serta semua kebijakan izin yang diwariskan.
- Jika akun utama tidak memiliki izin yang diperlukan, maka IAM akan mencegahnya mengakses resource.
- Jika akun utama memiliki izin yang diperlukan, IAM akan mengizinkannya mengakses resource.
Diagram berikut menunjukkan alur evaluasi kebijakan ini:
Langkah berikutnya
- Pelajari lebih lanjut tentang kebijakan izin.
- Pelajari lebih lanjut kebijakan penolakan.