Akun utama IAM

Di Identity and Access Management (IAM), Anda dapat mengontrol akses untuk akun utama. Akun utama mewakili satu atau beberapa identitas yang telah diautentikasi ke Google Cloud.

Menggunakan prinsipal dalam kebijakan Anda

Untuk menggunakan prinsipal dalam kebijakan Anda, lakukan hal berikut:

  1. Konfigurasi identitas yang Google Cloud dapat dikenali. Mengonfigurasi identitas adalah proses pembuatan identitas yang Google Cloud dapat dikenali. Anda dapat mengonfigurasi identitas untuk pengguna dan untuk workload.

    Untuk mempelajari cara mengonfigurasi identitas, lihat artikel berikut:

  2. Tentukan ID utama yang akan Anda gunakan. ID prinsipal adalah cara Anda merujuk prinsipal dalam kebijakan. ID ini dapat merujuk pada satu identitas atau ke grup identitas.

    Format yang Anda gunakan untuk ID utama bergantung pada hal berikut:

    • Jenis prinsipal
    • Jenis kebijakan yang ingin Anda gunakan untuk menyertakan akun utama

    Untuk melihat format ID utama untuk setiap jenis utama di setiap jenis kebijakan, lihat ID utama.

    Setelah mengetahui format ID, Anda dapat menentukan ID unik prinsipal berdasarkan atribut prinsipal, seperti alamat email prinsipal.

  3. Sertakan ID akun utama dalam kebijakan Anda. Tambahkan akun utama Anda ke kebijakan Anda, dengan mengikuti format kebijakan.

    Untuk mempelajari berbagai jenis kebijakan di IAM, lihat Jenis kebijakan.

Dukungan untuk jenis akun utama

Setiap jenis kebijakan IAM mendukung subset jenis prinsipal yang didukung IAM. Untuk melihat jenis akun utama yang didukung untuk setiap jenis kebijakan, lihat ID utama.

Jenis akun utama

IAM mendukung jenis prinsipal berikut:

Bagian berikut menjelaskan jenis utama ini secara lebih mendetail.

Akun Google

Akun Google mewakili developer, administrator, atau orang lain yang berinteraksi dengan Google Cloud menggunakan akun yang dibuat dengan Google. Setiap alamat email yang terkait dengan Akun Google, yang juga disebut sebagai akun pengguna terkelola, dapat digunakan sebagai prinsipal. Hal ini mencakup alamat email gmail.com dan alamat email dengan domain lain.

Dalam kebijakan izinkan dan tolak Anda, alias email yang terkait dengan Akun Google atau akun pengguna terkelola akan otomatis diganti dengan alamat email utama. Artinya, kebijakan ini menampilkan alamat email utama pengguna saat Anda memberikan akses ke alias email.

Untuk mengetahui informasi selengkapnya tentang penyiapan Akun Google, lihat Akun Cloud Identity atau Google Workspace.

Akun layanan

Akun layanan adalah akun untuk workload aplikasi atau komputasi, bukan untuk pengguna akhir individu. Saat menjalankan kode yang dihosting di Google Cloud, Anda menentukan akun layanan yang akan digunakan sebagai identitas untuk aplikasi Anda. Anda dapat membuat akun layanan sebanyak yang diperlukan untuk mewakili berbagai komponen logis aplikasi Anda.

Untuk mengetahui informasi selengkapnya tentang akun layanan, lihat Ringkasan akun layanan.

Grup Google

Grup Google adalah kumpulan Akun Google yang memiliki nama. Setiap grup Google memiliki alamat email unik yang terkait dengan grup tersebut. Anda dapat menemukan alamat email yang terkait dengan grup Google dengan mengklik Tentang di halaman beranda grup Google mana pun. Untuk mengetahui informasi selengkapnya tentang Google Grup, lihat halaman beranda Google Grup.

Grup Google merupakan cara mudah untuk menerapkan kontrol akses ke kumpulan pokok. Anda dapat memberikan dan mengubah kontrol akses untuk seluruh grup sekaligus, sehingga tidak perlu memberikan atau mengubah kontrol akses satu per satu untuk setiap pengguna. Anda juga dapat menambahkan atau menghapus akun utama dari grup Google, bukan memperbarui kebijakan izin untuk menambahkan atau menghapus akun utama.

Grup Google tidak memiliki kredensial login, dan Anda tidak dapat menggunakan grup Google untuk membuat identitas agar dapat membuat permintaan untuk mengakses aset.

Untuk mempelajari lebih lanjut cara menggunakan grup untuk kontrol akses, lihat Praktik terbaik untuk menggunakan grup Google.

Akun Google Workspace

Akun Google Workspace mewakili grup virtual dari semua Akun Google yang ada di dalamnya. Akun Google Workspace dikaitkan dengan nama domain internet organisasi Anda, seperti example.com. Saat Anda membuat Akun Google untuk pengguna baru, seperti username@example.com, Akun Google tersebut kemudian akan ditambahkan ke grup virtual untuk akun Google Workspace Anda.

Seperti grup Google, akun Google Workspace tidak dapat digunakan untuk membuat identitas, tetapi pengelolaan izin yang mudah tetap memungkinkan.

Domain Cloud Identity

Domain Cloud Identity mirip dengan akun Google Workspace karena mewakili grup virtual dari semua Akun Google dalam suatu organisasi. Hanya saja, pengguna domain Cloud Identity tidak memiliki akses ke aplikasi dan fitur Google Workspace. Untuk mengetahui informasi selengkapnya, lihat Tentang Cloud Identity.

Dalam kebijakan izinkan dan tolak, domain sekunder akan otomatis diganti dengan domain primer. Artinya, kebijakan ini menampilkan domain primer saat Anda memberikan akses ke domain sekunder.

allAuthenticatedUsers

Nilai allAuthenticatedUsers adalah ID khusus yang mewakili semua akun layanan dan semua pengguna di internet yang telah diautentikasi dengan Akun Google. ID ini mencakup akun yang tidak terhubung ke akun Google Workspace atau domain Cloud Identity, seperti akun Gmail pribadi. Pengguna yang tidak diautentikasi, seperti pengunjung anonim, tidak akan disertakan.

Jenis akun utama ini tidak mencakup identitas gabungan, yang dikelola oleh penyedia identitas (IdP) eksternal. Jika Anda menggunakan Workforce Identity Federation atau Workload Identity Federation, jangan gunakan allAuthenticatedUsers. Sebagai gantinya, Anda dapat menggunakan salah satu jenis akun utama berikut:

Beberapa jenis resource tidak mendukung jenis akun utama ini.

allUsers

Nilai allUsers adalah ID khusus yang mewakili siapa saja yang ada di internet, termasuk pengguna terautentikasi dan tidak terautentikasi.

Beberapa jenis resource tidak mendukung jenis akun utama ini.

Identitas gabungan dalam workforce identity pool

Identitas gabungan dalam workforce identity pool adalah identitas pengguna yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workforce Identity Federation. Anda dapat menggunakan identitas tertentu dalam workforce identity pool, atau Anda dapat menggunakan atribut tertentu untuk menentukan grup identitas pengguna dalam workforce identity pool.

Identitas gabungan dalam workload identity pool

Identitas gabungan dalam workload identity pool adalah identitas beban kerja yang dikelola oleh IdP eksternal dan digabungkan menggunakan Workload Identity Federation. Anda dapat menggunakan workload identity tertentu dalam workload identity pool, atau Anda dapat menggunakan atribut tertentu untuk menentukan grup workload identity dalam workload identity pool.

Pod GKE

Workload yang berjalan di GKE menggunakan Workload Identity Federation for GKE untuk mengakses Google Cloud layanan. Untuk mengetahui informasi selengkapnya tentang ID principal untuk Pod GKE, lihat Mereferensikan resource Kubernetes dalam kebijakan IAM.

Kumpulan utama Resource Manager

Setiap resource Resource Managerโ€”project, folder, dan organisasiโ€”dikaitkan dengan sekumpulan prinsipal. Saat membuat binding kebijakan batas akses akun utama, Anda dapat menggunakan set akun utama untuk resource Resource Manager guna mereferensikan semua akun utama yang terkait dengan resource tersebut.

Setiap akun utama untuk resource Resource Manager berisi akun utama berikut:

  • Set akun utama project: Semua akun layanan dan workload identity pool dalam project yang ditentukan.
  • Set akun utama folder: Semua akun layanan dan semua workload identity pool dalam project apa pun di folder yang ditentukan.

  • Kumpulan prinsipal organisasi: Berisi identitas berikut:

    • Semua identitas di semua domain yang terkait dengan ID pelanggan Google Workspace Anda
    • Semua workforce identity pool di organisasi Anda
    • Semua akun layanan dan workload identity pool dalam project apa pun di organisasi

Langkah berikutnya