Di Identity and Access Management (IAM), Anda mengontrol akses untuk akun utama. Akun utama mewakili satu atau beberapa identitas yang telah diautentikasi ke Trusted Cloud.
Menggunakan akun utama dalam kebijakan Anda
Untuk menggunakan akun utama dalam kebijakan Anda, lakukan hal berikut:
Konfigurasi identitas yang Trusted Cloud dapat dikenali. Mengonfigurasi identitas adalah proses pembuatan identitas yang dapat dikenali oleh Trusted Cloud . Anda dapat mengonfigurasi identitas untuk pengguna dan untuk workload.
Untuk mempelajari cara mengonfigurasi identitas, lihat hal berikut:
- Untuk mempelajari cara mengonfigurasi identitas bagi pengguna, lihat Identitas untuk pengguna.
- Untuk mempelajari cara mengonfigurasi identitas untuk workload, lihat Identitas untuk workload.
Tentukan ID akun utama yang akan Anda gunakan. ID akun utama adalah cara Anda merujuk ke akun utama dalam kebijakan. ID ini dapat merujuk pada satu identitas atau grup identitas.
Format yang Anda gunakan untuk ID utama bergantung pada hal berikut:
- Jenis akun utama
- Jenis kebijakan yang ingin Anda sertakan akun utama
Untuk melihat format ID utama untuk setiap jenis akun utama dalam setiap jenis kebijakan, lihat ID utama.
Setelah mengetahui format ID, Anda dapat menentukan ID unik akun utama berdasarkan atribut akun utama, seperti alamat email akun utama.
Sertakan ID akun utama dalam kebijakan Anda. Tambahkan akun utama ke kebijakan Anda, dengan mengikuti format kebijakan.
Untuk mempelajari berbagai jenis kebijakan di IAM, lihat Jenis kebijakan.
Dukungan untuk jenis akun utama
Setiap jenis kebijakan IAM mendukung subset jenis akun utama yang didukung IAM. Untuk melihat jenis akun utama yang didukung untuk setiap jenis kebijakan, lihat ID utama.
Jenis akun utama
IAM mendukung jenis akun utama berikut:
- Akun layanan
allAuthenticatedUsers
allUsers
- Satu atau beberapa identitas gabungan dalam workforce identity pool
- Satu atau beberapa identitas gabungan dalam workload identity pool
- Serangkaian Pod Google Kubernetes Engine
Bagian berikut menjelaskan jenis utama ini secara lebih mendetail.
Akun layanan
Akun layanan adalah akun untuk workload aplikasi atau komputasi, bukan untuk pengguna akhir individu. Saat menjalankan kode yang dihosting di Trusted Cloud, Anda menentukan akun layanan yang akan digunakan sebagai identitas untuk aplikasi Anda. Anda dapat membuat akun layanan sebanyak yang diperlukan untuk mewakili berbagai komponen logis aplikasi Anda.
Untuk informasi selengkapnya tentang akun layanan, lihat Ringkasan akun layanan.
allAuthenticatedUsers
Nilai allAuthenticatedUsers
adalah ID khusus yang mewakili semua akun layanan.
Jenis akun utama ini tidak mencakup identitas gabungan, yang dikelola oleh penyedia identitas (IdP) eksternal. Untuk menyertakan identitas gabungan, gunakan salah satu pilihan berikut:
- Untuk menyertakan pengguna dari semua IdP, gunakan
allUsers
. - Untuk menyertakan pengguna dari IdP eksternal tertentu, gunakan ID untuk semua identitas dalam workforce identity pool atau semua identitas dalam workload identity pool.
Beberapa jenis resource tidak mendukung jenis akun utama ini.
allUsers
Nilai allUsers
adalah ID khusus yang mewakili siapa saja yang ada di
internet, termasuk pengguna terautentikasi dan tidak terautentikasi.
Beberapa jenis resource tidak mendukung jenis akun utama ini.
Identitas gabungan dalam kumpulan identitas tenaga kerja
Identitas gabungan dalam workforce identity pool adalah identitas pengguna yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workforce Identity Federation. Anda dapat menggunakan identitas tertentu dalam workforce identity pool, atau Anda dapat menggunakan atribut tertentu untuk menentukan grup identitas pengguna dalam workforce identity pool.
Identitas gabungan dalam workload identity pool
Identitas gabungan dalam workload identity pool adalah identitas beban kerja yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workload Identity Federation. Anda dapat menggunakan workload identity tertentu dalam workload identity pool, atau Anda dapat menggunakan atribut tertentu untuk menentukan grup workload identity dalam workload identity pool.
Pod GKE
Workload yang berjalan di GKE menggunakan Workload Identity Federation for GKE untuk mengakses layanan Trusted Cloud . Untuk informasi selengkapnya tentang ID utama untuk Pod GKE, lihat Mereferensikan resource Kubernetes dalam kebijakan IAM.
Langkah berikutnya
- Pelajari jenis kebijakan yang didukung IAM
- Memberikan peran kepada akun utama di project, folder, atau organisasi Resource Manager