Di Identity and Access Management (IAM), Anda dapat mengontrol akses untuk akun utama. Akun utama mewakili satu atau beberapa identitas yang telah diautentikasi ke Cloud de Confiance.
Menggunakan prinsipal dalam kebijakan Anda
Untuk menggunakan prinsipal dalam kebijakan Anda, lakukan hal berikut:
Konfigurasi identitas yang Cloud de Confiance dapat dikenali. Mengonfigurasi identitas adalah proses pembuatan identitas yang Cloud de Confiance dapat dikenali. Anda dapat mengonfigurasi identitas untuk pengguna dan untuk workload.
Untuk mempelajari cara mengonfigurasi identitas, lihat artikel berikut:
- Untuk mempelajari cara mengonfigurasi identitas bagi pengguna, lihat Identitas untuk pengguna.
- Untuk mempelajari cara mengonfigurasi identitas untuk workload, lihat Identitas untuk workload.
Tentukan ID utama yang akan Anda gunakan. ID prinsipal adalah cara Anda merujuk prinsipal dalam kebijakan. ID ini dapat merujuk pada satu identitas atau ke grup identitas.
Format yang Anda gunakan untuk ID utama bergantung pada hal berikut:
- Jenis prinsipal
- Jenis kebijakan yang ingin Anda gunakan untuk menyertakan akun utama
Untuk melihat format ID utama untuk setiap jenis utama di setiap jenis kebijakan, lihat ID utama.
Setelah mengetahui format ID, Anda dapat menentukan ID unik prinsipal berdasarkan atribut prinsipal, seperti alamat email prinsipal.
Sertakan ID akun utama dalam kebijakan Anda. Tambahkan akun utama Anda ke kebijakan Anda, dengan mengikuti format kebijakan.
Untuk mempelajari berbagai jenis kebijakan di IAM, lihat Jenis kebijakan.
Dukungan untuk jenis akun utama
Setiap jenis kebijakan IAM mendukung subset jenis akun utama yang didukung IAM. Untuk melihat jenis utama yang didukung untuk setiap jenis kebijakan, lihat ID utama.
Jenis akun utama
Tabel berikut secara singkat menjelaskan berbagai jenis prinsipal yang didukung oleh IAM. Untuk mengetahui deskripsi mendetail dan contoh tampilan jenis prinsipal saat digunakan dalam kebijakan, klik nama jenis prinsipal dalam tabel.
| Jenis principal | Deskripsi | Satu akun utama atau kumpulan akun utama | Dikelola Google atau gabungan | Dukungan jenis kebijakan |
|---|---|---|---|---|
| Akun layanan | Akun yang digunakan oleh workload mesin, bukan oleh pengguna. | Pemilik tunggal | Dikelola oleh Google |
Jenis kebijakan berikut mendukung akun layanan:
|
allAuthenticatedUsers |
ID khusus yang mewakili semua akun layanan dan pengguna manusia di internet yang telah diautentikasi dengan Akun Google. |
Set akun utama yang dapat berisi jenis akun utama berikut:
|
Dikelola oleh Google |
Jenis kebijakan berikut mendukung
Jenis kebijakan berikut tidak mendukung
|
allUsers |
ID khusus yang mewakili siapa saja yang ada di internet—terautentikasi dan tidak terautentikasi. |
Set akun utama yang dapat berisi jenis akun utama berikut:
|
Keduanya |
Jenis kebijakan berikut mendukung
|
| Satu identitas dalam workforce identity pool | Pengguna manusia dengan identitas yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workforce Identity Federation. | Pemilik tunggal | Gabungan |
Jenis kebijakan berikut mendukung satu identitas dalam workforce identity pool:
|
| Sekumpulan principal dalam workforce identity pool | Sekumpulan pengguna manusia dengan identitas yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workforce Identity Federation. | Kumpulan akun utama yang berisi identitas tenaga kerja. | Gabungan |
Jenis kebijakan berikut mendukung sekumpulan prinsipal di workload identity pool:
|
| Principal tunggal dalam workload identity pool | Beban kerja (atau pengguna mesin) dengan identitas yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workload Identity Federation. | Pemilik tunggal | Gabungan |
Jenis kebijakan berikut mendukung satu prinsipal dalam workload identity pool:
|
| Sekumpulan principal dalam workload identity pool | Sekumpulan beban kerja (atau pengguna mesin) dengan identitas yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workload Identity Federation. | Kumpulan prinsipal yang berisi identitas workload | Gabungan |
Jenis kebijakan berikut mendukung sekumpulan prinsipal di workload identity pool:
|
| Sekumpulan Pod Google Kubernetes Engine | Workload (atau pengguna mesin) yang berjalan di dan difederasikan melalui GKE. | Kumpulan akun utama yang dapat berisi satu atau beberapa identitas workload gabungan | Gabungan |
Jenis kebijakan berikut mendukung pod GKE:
Jenis kebijakan berikut tidak mendukung pod GKE:
|
| Identitas agen | Identitas untuk beban kerja agentic yang dibuktikan secara kuat terikat dengan siklus proses agen. | Pemilik tunggal | Dikelola oleh Google |
Jenis kebijakan berikut mendukung identitas agen:
|
| Kumpulan identitas agen | Semua identitas agen dalam kumpulan identitas agen. | Kumpulan akun utama yang berisi identitas agen. | Dikelola oleh Google |
Jenis kebijakan berikut mendukung serangkaian identitas agen:
|
Bagian berikut menjelaskan jenis utama ini secara lebih mendetail.
Akun layanan
Akun layanan adalah akun untuk workload aplikasi atau komputasi, bukan untuk pengguna akhir individu. Akun layanan dapat dibagi menjadi akun layanan yang dikelola pengguna dan akun layanan yang dikelola Google, yang disebut agen layanan:
Saat menjalankan kode yang dihosting di Cloud de Confiance, Anda menentukan akun layanan yang akan digunakan sebagai identitas untuk aplikasi Anda. Anda dapat membuat akun layanan yang dikelola pengguna sebanyak yang diperlukan untuk mewakili berbagai komponen logis aplikasi Anda.
Beberapa layanan Cloud de Confiance memerlukan akses ke resource Anda agar dapat bertindak atas nama Anda. Google membuat dan mengelola agen layanan untuk memenuhi kebutuhan ini.
Contoh berikut menunjukkan cara Anda dapat mengidentifikasi akun layanan dalam berbagai jenis kebijakan:
- Kebijakan izin:
serviceAccount:my-service-account@my-project.s3ns.iam.gserviceaccount.com - Kebijakan penolakan:
principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.s3ns.iam.gserviceaccount.com
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Untuk mengetahui informasi selengkapnya tentang akun layanan, lihat halaman berikut:
allAuthenticatedUsers
Nilai allAuthenticatedUsers adalah ID khusus yang mewakili semua
akun layanan.
Jenis akun utama ini tidak mencakup identitas gabungan, yang dikelola oleh penyedia identitas (IdP) eksternal. Untuk menyertakan identitas gabungan, gunakan salah satu pilihan berikut:
- Untuk menyertakan pengguna dari semua IdP, gunakan
allUsers. - Untuk menyertakan pengguna dari IdP eksternal tertentu, gunakan ID untuk semua identitas dalam workforce identity pool atau semua identitas dalam workload identity pool.
Beberapa jenis resource tidak mendukung jenis akun utama ini.
allUsers
Nilai allUsers adalah ID khusus yang mewakili siapa saja yang ada di
internet, termasuk pengguna terautentikasi dan tidak terautentikasi.
Beberapa jenis resource tidak mendukung jenis akun utama ini.
Contoh berikut menunjukkan tampilan ID allUsers dalam berbagai jenis kebijakan:
- Kebijakan izinkan pada jenis resource yang didukung:
allUsers - Kebijakan penolakan:
principalSet://goog/public:all
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Identitas gabungan dalam workforce identity pool
Workforce identity pool adalah sekumpulan identitas pengguna yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workforce Identity Federation. Anda dapat mereferensikan prinsipal di kumpulan ini dengan cara berikut:
- Satu identitas dalam workforce identity pool
- Semua identitas workforce dalam grup tertentu
- Semua workforce identity dengan nilai atribut tertentu
- Semua identitas dalam workforce identity pool
Contoh berikut menunjukkan cara mengidentifikasi kumpulan identitas tenaga kerja gabungan dalam berbagai jenis kebijakan:
- Satu identitas dalam kebijakan izin:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - Grup identitas dalam kebijakan penolakan:
principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Identitas gabungan dalam workload identity pool
Workload identity pool adalah sekumpulan identitas beban kerja yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workload Identity Federation. Anda dapat mereferensikan prinsipal di kumpulan ini dengan cara berikut:
- Satu identitas dalam workload identity pool
- Semua identitas workload dalam grup tertentu
- Semua workload identity dengan nilai atribut tertentu
- Semua identitas dalam workload identity pool
Contoh berikut menunjukkan cara mengidentifikasi kumpulan identitas workload gabungan dalam berbagai jenis kebijakan:
- Satu identitas dalam kebijakan izin:
principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com - Grup identitas dalam kebijakan penolakan:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Pod GKE
Workload yang berjalan di GKE menggunakan Workload Identity Federation for GKE untuk mengakses Cloud de Confiance layanan. Untuk mengetahui informasi selengkapnya tentang ID principal untuk Pod GKE, lihat Mereferensikan resource Kubernetes dalam kebijakan IAM.
Contoh berikut menunjukkan cara mengidentifikasi semua pod GKE dalam cluster tertentu dalam kebijakan izin:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.s3ns.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Identitas agen
Identitas agen adalah identitas yang dikelola Google untuk beban kerja agen. Identitas agen dibuktikan dan dikaitkan dengan siklus proses agen, yang memberikan cara yang lebih aman untuk mengelola akses agen ke resource Cloud de Confiance daripada menggunakan akun layanan.
Setiap agen otomatis disediakan dengan identitas agen. Anda dapat memberikan atau menolak akses ke Cloud de Confiance resource menggunakan kebijakan IAM.
Contoh berikut menunjukkan cara mengidentifikasi identitas agen dalam kebijakan izin atau kebijakan penolakan:
principal://agents.global.org-123456789012.system.id.goog/resources/aiplatform/projects/9876543210/locations/us-central1/reasoningEngines/my-test-agent
Untuk mempelajari lebih lanjut format ID utama, lihat ID utama.
Langkah berikutnya
- Pelajari jenis kebijakan yang didukung IAM
- Memberi akun utama peran di project, folder, atau organisasi Resource Manager