Traffine I/O

Bahasa Indonesia

2022-07-09

Cloud IAM

Google Cloud
Google Cloud
Cloud IAM
Cloud IAM

Apa itu Cloud IAM

Cloud IAM, kepanjangan dari Cloud Identity and Access Management, merupakan bagian integral dari Google Cloud Platform (GCP). Ini memainkan peran penting dalam mengelola dan menentukan identitas pengguna dan kontrol akses terkait dalam lingkungan cloud. Cloud IAM berpusat pada prinsip memberikan akses dengan hak terendah - memberikan pengguna hanya izin yang diperlukan untuk menjalankan perannya.

Google Cloud IAM menawarkan kendali terpadu bagi admin atas resource cloud, sehingga memastikan resource ini hanya dapat diakses oleh entitas yang tepat, baik itu pengguna manusia, grup, atau akun layanan.

Yang membedakan Cloud IAM adalah granularitas dan fleksibilitasnya. IAM Policy memungkinkan admin untuk menentukan izin yang spesifik pada suatu resource. Misalnya, satu pengguna mungkin memiliki izin untuk melihat database, sementara yang lain memiliki otoritas untuk memodifikasinya. Dengan memberikan peran yang mengandung kumpulan izin yang spesifik, memungkinkan untuk mengontrol siapa (identitas) yang memiliki akses apa (peran) ke data mana (resource).

Identitas

Identitas dalam domain Google Cloud IAM merujuk pada entitas yang diberikan izin. Ini merupakan dasar dari setiap model kontrol akses. Di Google Cloud, identitas dapat berupa Akun Pengguna, Grup Google, atau Akun Layanan.

Akun Pengguna

Akun Pengguna terkait dengan akun Google individual. Akun-akun ini digunakan untuk mengidentifikasi pengguna manusia yang berinteraksi dengan resource Google Cloud. Dalam skenario bisnis, akun pengguna biasanya terkait dengan karyawan atau klien yang membutuhkan akses ke berbagai resource dalam Google Cloud. Akun-akun ini dapat dimiliki oleh domain mana pun yang dikelola oleh Google Workspace atau Cloud Identity, memberikan beragam opsi bagi pengguna.

Akun Pengguna adalah tingkat identitas pertama yang digunakan untuk otentikasi. Mereka biasanya diamankan dengan kata sandi dan dapat memiliki langkah keamanan tambahan seperti otentikasi dua faktor untuk memastikan identitas pengguna. Setelah terotentikasi, pengguna kemudian diotorisasi, yaitu diberikan izin spesifik berdasarkan peran yang ditugaskan ke akun mereka.

Grup Google

Grup Google pada dasarnya adalah kumpulan akun Google dan Akun Layanan. Mereka berfungsi sebagai cara yang nyaman untuk memberikan izin kepada sekelompok pengguna secara bersamaan. Setiap grup memiliki alamat email unik, dan menambahkan akun pengguna ke grup tersebut sangatlah mudah, hanya dengan mengaitkan alamat email pengguna dengan grup tersebut.

Menggunakan Grup Google untuk mengelola akses ke resource adalah cara yang efisien untuk menangani izin dalam skala besar. Daripada secara manual menetapkan peran untuk setiap pengguna, administrator dapat mengkategorikan pengguna ke berbagai Grup Google berdasarkan peran atau fungsi mereka dalam organisasi, lalu memberikan izin kepada seluruh grup tersebut.

Akun Layanan

Akun Layanan memiliki tujuan yang berbeda dibandingkan dengan Akun Pengguna dan Grup Google. Mereka ditujukan untuk pengguna non-manusia seperti aplikasi atau mesin virtual yang perlu berinteraksi dengan layanan Google Cloud.

Akun ini mengotentikasi layanan dan aplikasi yang berjalan di cloud, memungkinkan mereka untuk mengakses layanan lain secara aman dan melakukan operasi yang diperlukan. Akun Layanan, seperti pengguna manusia, diberikan peran dan izin spesifik untuk mengontrol tindakan apa yang dapat dilakukan dalam lingkungan Google Cloud.

Peran dan Izin

Peran dan izin membentuk aturan yang mengatur akses yang dimiliki oleh pengguna atau layanan terhadap resource tertentu.

Anggota

Terminologi 'anggota' dalam Google Cloud IAM mencakup setiap entitas yang dapat diberikan peran dan izin. Anggota ini dapat berupa Akun Pengguna individu, Grup Google, Akun Layanan, atau bahkan seluruh domain G Suite. Setelah peran ditugaskan kepada anggota, mereka dapat melakukan tindakan tertentu berdasarkan izin yang mereka miliki.

Peran

Peran adalah kumpulan izin yang dapat ditugaskan kepada anggota. Peran dapat dianggap sebagai fungsi pekerjaan dalam sistem. Dengan menugaskan peran kepada anggota, kita memastikan bahwa setiap anggota memiliki izin yang diperlukan untuk melakukan tugas mereka, dan tidak lebih dari itu. Prinsip ini, dikenal sebagai prinsip hak terendah, meminimalkan potensi paparan data yang tidak perlu.

Google Cloud IAM menyediakan tiga jenis peran:

  • Peran primitif
    Ini adalah peran yang luas yang berlaku untuk semua layanan Google Cloud. Mereka mencakup peran Owner, Editor, dan Viewer. Meskipun mereka menawarkan kemudahan, mereka kurang granular dibandingkan dengan jenis peran lainnya.

  • Peran predefinisi
    Ini adalah peran yang lebih granular yang berlaku untuk layanan Google Cloud tertentu. Mereka menawarkan presisi yang lebih tinggi dalam menetapkan hak akses kepada anggota.

  • Peran kustom
    Seperti namanya, ini adalah peran yang dapat disesuaikan oleh organisasi untuk memenuhi kebutuhan spesifik. Peran kustom menawarkan fleksibilitas terbesar, memungkinkan administrator untuk memilih izin sesuai dengan kebutuhan spesifik dari suatu fungsi pekerjaan.

IAM Policy

IAM Policy adalah cara di mana peran ditugaskan kepada anggota. Mereka mengikat anggota dengan peran, menentukan tindakan apa yang diizinkan oleh anggota. Kebijakan ini dilampirkan pada tingkat proyek dan mengatur semua resource dalam proyek tersebut.

Setiap IAM Policy mencakup satu atau lebih ikatan, di mana setiap ikatan menghubungkan satu atau lebih anggota dengan peran tertentu. Setelah IAM Policy ditentukan dan diimplementasikan, izin-izin diterapkan secara konsisten di seluruh lingkungan Google Cloud, memastikan akses yang aman dan terkontrol terhadap resource.

Referensi

https://cloud.google.com/iam/docs/roles-overview
https://cloud.google.com/identity

Gambaran Umum Vertex AI

Cloud IAM Best Practices

AlloyDB
AlloyDB
Amazon Cognito
Amazon Cognito
Amazon EC2
Amazon EC2
Amazon ECS
Amazon ECS
Amazon QuickSight
Amazon QuickSight
Amazon RDS
Amazon RDS
Amazon Redshift
Amazon Redshift
Amazon S3
Amazon S3
API
API
Autonomous Vehicle
Autonomous Vehicle
AWS
AWS
AWS API Gateway
AWS API Gateway
AWS Chalice
AWS Chalice
AWS Control Tower
AWS Control Tower
AWS IAM
AWS IAM
AWS Lambda
AWS Lambda
AWS VPC
AWS VPC
BERT
BERT
BigQuery
BigQuery
Causal Inference
Causal Inference
ChatGPT
ChatGPT
Chrome Extension
Chrome Extension
CircleCI
CircleCI
Classification
Classification
Cloud Functions
Cloud Functions
Cloud IAM
Cloud IAM
Cloud Run
Cloud Run
Cloud Storage
Cloud Storage
Clustering
Clustering
CSS
CSS
Data Engineering
Data Engineering
Data Modeling
Data Modeling
Database
Database
dbt
dbt
Decision Tree
Decision Tree
Deep Learning
Deep Learning
Descriptive Statistics
Descriptive Statistics
Differential Equation
Differential Equation
Dimensionality Reduction
Dimensionality Reduction
Discrete Choice Model
Discrete Choice Model
Docker
Docker
Economics
Economics
FastAPI
FastAPI
Firebase
Firebase
GIS
GIS
git
git
GitHub
GitHub
GitHub Actions
GitHub Actions
Google
Google
Google Cloud
Google Cloud
Google Search Console
Google Search Console
Hugging Face
Hugging Face
Hypothesis Testing
Hypothesis Testing
Inferential Statistics
Inferential Statistics
Interval Estimation
Interval Estimation
JavaScript
JavaScript
Jinja
Jinja
Kedro
Kedro
Kubernetes
Kubernetes
LightGBM
LightGBM
Linux
Linux
LLM
LLM
Mac
Mac
Machine Learning
Machine Learning
Macroeconomics
Macroeconomics
Marketing
Marketing
Mathematical Model
Mathematical Model
Meltano
Meltano
MLflow
MLflow
MLOps
MLOps
MySQL
MySQL
NextJS
NextJS
NLP
NLP
Nodejs
Nodejs
NoSQL
NoSQL
ONNX
ONNX
OpenAI
OpenAI
Optimization Problem
Optimization Problem
Optuna
Optuna
Pandas
Pandas
Pinecone
Pinecone
PostGIS
PostGIS
PostgreSQL
PostgreSQL
Probability Distribution
Probability Distribution
Product
Product
Project
Project
Psychology
Psychology
Python
Python
PyTorch
PyTorch
QGIS
QGIS
R
R
ReactJS
ReactJS
Regression
Regression
Rideshare
Rideshare
SEO
SEO
Singer
Singer
sklearn
sklearn
Slack
Slack
Snowflake
Snowflake
Software Development
Software Development
SQL
SQL
Statistical Model
Statistical Model
Statistics
Statistics
Streamlit
Streamlit
Tabular
Tabular
Tailwind CSS
Tailwind CSS
TensorFlow
TensorFlow
Terraform
Terraform
Transportation
Transportation
TypeScript
TypeScript
Urban Planning
Urban Planning
Vector Database
Vector Database
Vertex AI
Vertex AI
VSCode
VSCode
XGBoost
XGBoost

Ryusei Kakujo

researchgatelinkedingithub

Focusing on data science for mobility

Bench Press 100kg!