Identity and Access Management (IAM) menawarkan beberapa jenis kebijakan untuk membantu Anda mengontrol resource yang dapat diakses akun utama. Halaman ini membantu Anda memahami perbedaan antara cara Anda menggunakan dan mengelola jenis kebijakan ini.
Jenis kebijakan IAM di Cloud de Confiance
IAM menawarkan jenis kebijakan berikut:
- Kebijakan izin
- Kebijakan tolak
Tabel berikut merangkum perbedaan antara jenis kebijakan ini:
| Kebijakan | Fungsi kebijakan | API yang digunakan untuk mengelola kebijakan | Hubungan antara kebijakan dan target | Metode untuk melampirkan kebijakan ke target | Resource induk kebijakan |
|---|---|---|---|---|---|
| Kebijakan izin | Memberikan akses ke resource kepada akun utama | API untuk resource yang ingin Anda kelola kebijakan izinnya |
Hubungan one-to-one Setiap kebijakan izin dilampirkan ke satu resource; setiap resource hanya dapat memiliki satu kebijakan izin |
Menentukan resource saat membuat kebijakan | Sama seperti resource yang dilampirkan ke kebijakan izin |
| Kebijakan tolak | Memastikan akun utama tidak dapat menggunakan izin tertentu | IAM v2 API |
Hubungan one-to-many Setiap kebijakan tolak dilampirkan ke satu resource; setiap resource dapat memiliki hingga 500 kebijakan tolak |
Menentukan resource saat membuat kebijakan penolakan | Sama seperti resource yang dilampirkan ke kebijakan tolak |
Bagian berikut memberikan detail tentang setiap jenis kebijakan.
Kebijakan untuk memberikan akses ke akun utama
Untuk memberikan akses ke resource kepada akun utama, gunakan kebijakan izinkan IAM.
Kebijakan izin memungkinkan Anda memberikan akses ke resource di Cloud de Confiance. Kebijakan izin terdiri dari binding peran dan metadata. Binding peran menentukan akun utama mana yang harus memiliki peran tertentu pada resource.
Kebijakan izin selalu dilampirkan ke satu resource. Setelah Anda melampirkan kebijakan izin ke resource, kebijakan tersebut akan diwarisi oleh turunan resource tersebut.
Untuk membuat dan menerapkan kebijakan izin, Anda mengidentifikasi resource yang menerima kebijakan izin, lalu menggunakan metode setIamPolicy resource tersebut untuk membuat kebijakan izin. Semua akun utama dalam kebijakan izin
diberikan peran yang ditentukan pada resource dan semua turunan
resource. Setiap resource hanya dapat memiliki satu kebijakan izin yang dilampirkan.
Untuk informasi selengkapnya tentang kebijakan izin, lihat Memahami kebijakan izin.
Kebijakan untuk menolak akses ke akun utama
Untuk menolak akses akun utama ke resource, gunakan kebijakan tolak IAM. Kebijakan penolakan IAM tersedia di IAM v2 API.
Kebijakan tolak, seperti kebijakan izin, selalu dilampirkan ke satu resource. Anda dapat melampirkan kebijakan tolak ke project, folder, atau organisasi. Project, folder, atau organisasi ini juga bertindak sebagai induk kebijakan dalam hierarki resource. Setelah Anda melampirkan kebijakan tolak ke resource, kebijakan tersebut diwariskan oleh turunan resource tersebut.
Untuk membuat dan menerapkan kebijakan penolakan, Anda menggunakan IAM v2 API. Saat membuat kebijakan penolakan, Anda menentukan resource yang menjadi tempat kebijakan penolakan dilampirkan. Semua akun utama dalam kebijakan tolak dicegah untuk menggunakan izin yang ditentukan guna mengakses resource tersebut dan salah satu turunan resource tersebut. Setiap resource dapat memiliki hingga 500 kebijakan tolak yang dilampirkan.
Untuk mengetahui informasi selengkapnya tentang kebijakan penolakan, lihat Kebijakan penolakan.
Evaluasi kebijakan
Saat akun utama mencoba mengakses resource, IAM mengevaluasi semua kebijakan izin dan tolak yang relevan untuk melihat apakah akun utama diizinkan untuk mengakses resource. Jika salah satu kebijakan ini menunjukkan bahwa akun utama tidak boleh mengakses resource, IAM akan mencegah akses.
Pada kenyataannya, IAM mengevaluasi semua jenis kebijakan secara bersamaan, lalu mengompilasi hasilnya untuk menentukan apakah akun utama dapat mengakses resource. Namun, sebaiknya pertimbangkan evaluasi kebijakan ini yang berlangsung dalam tahap berikut:
-
IAM memeriksa semua kebijakan tolak yang relevan untuk melihat apakah akun utama telah ditolak izinnya. Kebijakan tolak yang relevan adalah kebijakan tolak yang dilampirkan ke resource, serta semua kebijakan tolak yang diwariskan.
- Jika salah satu dari kebijakan tolak ini mencegah akun utama menggunakan izin yang diperlukan, IAM akan mencegah akun utama mengakses resource.
- Jika tidak ada kebijakan tolak yang mencegah akun utama menggunakan izin yang diperlukan, IAM akan melanjutkan ke langkah berikutnya.
-
IAM memeriksa semua kebijakan izin yang relevan untuk melihat apakah akun utama memiliki izin yang diperlukan. Kebijakan izin yang relevan adalah kebijakan izin yang dilampirkan ke resource, serta semua kebijakan izin yang diwariskan.
- Jika akun utama tidak memiliki izin yang diperlukan, IAM akan mencegahnya mengakses resource.
- Jika akun utama memiliki izin yang diperlukan, IAM akan mengizinkan akun tersebut mengakses resource.
Diagram berikut menunjukkan alur evaluasi kebijakan ini:
Langkah berikutnya
- Pelajari lebih lanjut tentang kebijakan izin.
- Pelajari kebijakan tolak lebih lanjut.