Google Cloud Alur terpandu penyiapan

Resource organisasi di Google Cloud mewakili bisnis Anda, dan berfungsi sebagai node tingkat teratas hierarki Anda. Untuk membuat organisasi, Anda menyiapkan layanan identitas Google dan mengaitkannya dengan domain Anda. Saat Anda menyelesaikan proses ini, resource organisasi akan dibuat secara otomatis.

Untuk ringkasan resource organisasi, lihat berikut ini:

• Mengelola resource organisasi.
• Praktik terbaik untuk merencanakan akun dan organisasi.

Yang melakukan tugas ini

Dua administrator berikut melakukan tugas ini:

• Administrator identitas yang bertanggung jawab untuk menetapkan akses berbasis peran. Anda menetapkan orang ini sebagai administrator super Cloud Identity. Untuk mengetahui informasi selengkapnya tentang pengguna administrator super, lihat Peran administrator standar.

• Administrator domain yang memiliki akses ke host domain perusahaan. Orang ini mengedit setelan domain Anda, seperti konfigurasi DNS, sebagai bagian dari proses verifikasi domain.

Yang Anda lakukan dalam tugas ini

• Jika belum melakukannya, siapkan Cloud Identity, tempat Anda membuat akun pengguna terkelola untuk pengguna admin super Anda.
• Tautkan Cloud Identity ke domain Anda (seperti example.com).
• Verifikasi domain Anda. Proses ini akan membuat node root hierarki resource Anda, yang dikenal sebagai resource organisasi.

Alasan kami merekomendasikan tugas ini

Anda harus mengonfigurasi hal berikut sebagai bagian dari fondasi Google Cloud :

• Layanan identitas Google untuk mengelola identitas secara terpusat.
• Resource organisasi untuk menetapkan root hierarki dan kontrol akses Anda.

Opsi layanan identitas Google

Anda menggunakan salah satu atau kedua layanan identitas Google berikut untuk mengelola kredensial bagi pengguna: Google Cloud

• Cloud Identity: Mengelola pengguna dan grup secara terpusat. Anda dapat menggabungkan identitas antara Google dan penyedia identitas lainnya. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud Identity.
• Google Workspace: Mengelola pengguna dan grup, serta memberikan akses ke produk produktivitas dan kolaborasi seperti Gmail dan Google Drive. Untuk mengetahui informasi selengkapnya, lihat Google Workspace.

Untuk mengetahui informasi mendetail tentang perencanaan identitas, lihat Merencanakan proses orientasi untuk identitas perusahaan Anda.

Sebelum memulai

Untuk memahami cara mengelola akun administrator super, lihat Praktik terbaik akun administrator super.

Mengonfigurasi penyedia identitas dan memverifikasi domain Anda

Langkah-langkah yang Anda selesaikan dalam tugas ini bergantung pada apakah Anda pelanggan baru atau lama. Identifikasi opsi yang sesuai dengan kebutuhan Anda:

• Pelanggan baru: Siapkan Cloud Identity, verifikasi domain, dan buat organisasi Anda.

• Pelanggan Google Workspace lama: Gunakan Google Workspace sebagai penyedia identitas Anda untuk pengguna yang mengakses Google Workspace dan Google Cloud. Jika Anda berencana membuat pengguna yang hanya mengakses Google Cloud, aktifkan Cloud Identity.

• Pelanggan Cloud Identity yang sudah ada: Verifikasi domain Anda, pastikan organisasi Anda telah dibuat, dan konfirmasi bahwa Cloud Identity telah diaktifkan.

Langkah berikutnya

Buat grup dan tambahkan anggota.

Dalam tugas ini, Anda akan menyiapkan identitas, pengguna, dan grup untuk mengelola akses ke Google Cloud resource.

Untuk mengetahui informasi selengkapnya tentang pengelolaan akses di Google Cloud, lihat artikel berikut:

• Ringkasan Identity and Access Management (IAM).
• Untuk mengetahui praktik terbaik, lihat Menggunakan IAM dengan aman.

Yang melakukan tugas ini

Anda dapat melakukan tugas ini jika memiliki salah satu hal berikut:

• Administrator super Google Workspace atau Cloud Identity yang Anda buat di tugas Organisasi.
• Salah satu peran IAM berikut:
  • Administrator Organisasi (roles/resourcemanager.organizationAdmin).
  • Admin Workforce Identity Pool (roles/iam.workforcePoolAdmin).

Yang Anda lakukan dalam tugas ini

• Hubungkan ke Cloud Identity atau penyedia identitas (IdP) eksternal Anda.

• Buat grup administratif dan pengguna yang akan melakukan langkah-langkah PenyiapanGoogle Cloud lainnya. Anda akan memberikan akses ke grup ini di tugas selanjutnya.

Alasan kami merekomendasikan tugas ini

Tugas ini membantu Anda menerapkan praktik terbaik keamanan berikut:

• Prinsip hak istimewa terendah: Beri pengguna izin minimum yang diperlukan untuk menjalankan peran mereka, dan hapus akses segera setelah tidak diperlukan lagi.

• Kontrol akses berbasis peran (RBAC): Tetapkan izin ke grup pengguna sesuai dengan peran tugas mereka. Jangan menambahkan izin ke akun pengguna perorangan.

Anda dapat menggunakan grup untuk menerapkan peran IAM secara efisien ke kumpulan pengguna. Praktik ini membantu Anda menyederhanakan pengelolaan akses.

Pilih penyedia identitas

Anda dapat menggunakan salah satu opsi berikut untuk mengelola pengguna dan grup, serta menghubungkannya ke Google Cloud:

• Google Workspace atau Cloud Identity: Anda membuat dan mengelola pengguna dan grup di Google Workspace atau Cloud Identity. Anda dapat memilih untuk menyinkronkan dengan penyedia identitas eksternal Anda nanti.
• Penyedia identitas eksternal Anda, seperti Microsoft Entra ID atau Okta: Anda membuat dan mengelola pengguna dan grup di penyedia identitas eksternal Anda. Kemudian, hubungkan penyedia Anda ke Google Cloud untuk mengaktifkan login tunggal.

Untuk memilih penyedia identitas Anda, lakukan hal berikut:

1. Login ke konsol Google Cloud sebagai salah satu pengguna yang Anda identifikasi di Siapa yang melakukan tugas ini.

2. Buka Google Cloud Penyiapan: Pengguna & grup.

   Buka Pengguna & grup

3. Tinjau detail tugas, lalu klik Lanjutkan penyiapan identitas.

4. Di halaman Pilih penyedia identitas Anda, pilih salah satu opsi berikut untuk memulai penyiapan terpandu:

   • Menggunakan Google untuk mengelola pengguna secara terpusat Google Cloud : Gunakan Google Workspace atau Cloud Identity untuk menyediakan dan mengelola pengguna dan grup sebagai administrator super domain terverifikasi Anda. Anda dapat menyinkronkan dengan penyedia identitas eksternal Anda nanti.
   • Microsoft Entra ID (Azure AD): Gunakan OpenID Connect untuk mengonfigurasi koneksi ke Microsoft Entra ID.
   • Okta: Gunakan OpenID Connect untuk mengonfigurasi koneksi ke Okta.
   • OpenID Connect: Gunakan protokol OpenID untuk terhubung ke penyedia identitas yang kompatibel.
   • SAML: Gunakan protokol SAML untuk terhubung ke penyedia identitas yang kompatibel.
   • Lewati penyiapan IdP eksternal untuk saat ini: Jika Anda memiliki penyedia identitas eksternal dan belum siap menghubungkannya ke Google Cloud, Anda dapat membuat pengguna dan grup di Google Workspace atau Cloud Identity.

5. Klik Lanjutkan.

6. Lihat salah satu bagian berikut untuk mengetahui langkah selanjutnya:

   • Membuat pengguna dan grup di Cloud Identity
   • Menghubungkan penyedia identitas eksternal Anda ke Google Cloud

Membuat pengguna dan grup di Cloud Identity

Jika Anda tidak memiliki penyedia identitas yang ada, atau jika Anda belum siap menghubungkan penyedia identitas ke Google Cloud, Anda dapat membuat dan mengelola pengguna dan grup di Cloud Identity atau Google Workspace. Untuk membuat pengguna dan grup, Anda melakukan hal berikut:

• Buat grup untuk setiap fungsi administratif yang direkomendasikan, termasuk administrasi organisasi, penagihan, dan jaringan.
• Buat akun pengguna terkelola untuk administrator.
• Tetapkan pengguna ke grup administratif yang sesuai dengan tanggung jawab mereka.

Sebelum memulai

• Temukan dan migrasikan pengguna yang sudah memiliki Akun Google. Untuk informasi mendetail, lihat Menambahkan pengguna dengan akun yang tidak dikelola.

• Anda harus menjadi administrator super.

Membuat grup administratif

Grup adalah kumpulan Akun Google dan akun layanan yang memiliki nama. Setiap grup memiliki alamat email unik, seperti gcp-billing-admins@example.com. Anda membuat grup untuk mengelola pengguna dan menerapkan peran IAM dalam skala besar.

Grup berikut direkomendasikan untuk membantu Anda mengelola fungsi inti organisasi dan menyelesaikan Google Cloud Proses penyiapan.

Untuk membuat grup administratif, lakukan hal berikut:

1. Pilih Google sebagai penyedia Anda.

2. Di halaman Buat Grup, tinjau daftar grup administratif yang direkomendasikan, lalu lakukan salah satu hal berikut:

   • Untuk membuat semua grup yang direkomendasikan, klik Buat semua grup.
   • Jika Anda ingin membuat subkumpulan grup yang direkomendasikan, klik Buat di baris yang dipilih.

3. Klik Lanjutkan.

Membuat pengguna administratif

Sebaiknya Anda menambahkan pengguna yang menyelesaikan prosedur penyiapan organisasi, jaringan, penagihan, dan lainnya terlebih dahulu. Anda dapat menambahkan pengguna lain setelah Anda menyelesaikan Google Cloud Proses penyiapan.

Untuk menambahkan pengguna administratif yang melakukan Google Cloud tugas Penyiapan, lakukan hal berikut:

1. Migrasikan akun konsumen ke akun pengguna terkelola yang dikontrol oleh Cloud Identity. Untuk mengetahui langkah-langkah mendetail, lihat bagian berikut:

   • Memigrasikan akun konsumen.
   • Menambahkan pengguna dengan akun yang tidak dikelola.

2. Login ke konsol Google Admin menggunakan akun administrator super.

3. Gunakan salah satu opsi berikut untuk menambahkan pengguna:

   • Untuk menambahkan pengguna secara massal, lihat Menambahkan atau memperbarui beberapa pengguna dari file CSV.
   • Untuk menambahkan pengguna satu per satu, lihat Menambahkan akun untuk pengguna baru.

4. Setelah selesai menambahkan pengguna, kembali ke Google Cloud Penyiapan: Pengguna & grup (Buat pengguna).

5. Klik Lanjutkan.

Menambahkan pengguna administratif ke grup

Tambahkan pengguna yang Anda buat ke grup administratif yang sesuai dengan tugas mereka.

1. Pastikan Anda telah membuat pengguna administratif.

2. Di Google Cloud Penyiapan: Pengguna & grup (Menambahkan pengguna ke grup), tinjau detail langkahnya.

3. Di setiap baris Grup, lakukan hal berikut:

   1. Klik Tambahkan anggota.
   2. Masukkan alamat email pengguna.

   3. Dari daftar drop-down Peran grup, pilih setelan izin grup pengguna. Untuk mengetahui informasi selengkapnya, lihat Menetapkan siapa saja yang dapat melihat, memposting, dan memoderasi.

      Setiap anggota mewarisi semua peran IAM yang Anda berikan ke grup, terlepas dari peran grup yang Anda pilih.

   4. Untuk menambahkan pengguna lain ke grup ini, klik Tambahkan anggota lain dan ulangi langkah-langkah ini. Sebaiknya tambahkan lebih dari satu anggota ke setiap grup.

   5. Setelah Anda selesai menambahkan pengguna ke grup ini, klik Simpan.

4. Setelah selesai dengan semua grup, klik Konfirmasi pengguna & grup.

5. Jika Anda ingin menggabungkan penyedia identitas ke Google Cloud, lihat berikut:

   • Arsitektur referensi: menggunakan IdP eksternal.
   • Untuk menyediakan pengguna secara otomatis dan mengaktifkan single sign-on, lihat artikel berikut:
     • Gabungkan Cloud Identity dengan Active Directory.
     • Gabungkan Cloud Identity dengan Microsoft Entra ID.
   • Untuk menyinkronkan pengguna dan grup Active Directory ke Google Cloud, gunakan Directory Sync atau Google Cloud Directory Sync.
     • Untuk perbandingan, lihat Membandingkan Directory Sync dengan GCDS.

Menghubungkan penyedia identitas eksternal Anda ke Google Cloud

Anda dapat menggunakan penyedia identitas yang ada untuk membuat dan mengelola grup dan pengguna. Anda mengonfigurasi single sign-on ke Google Cloud dengan menyiapkan workforce identity federation dengan penyedia identitas eksternal Anda. Untuk mengetahui konsep utama proses ini, lihat Workforce Identity Federation.

Untuk menghubungkan penyedia identitas eksternal, Anda harus menyelesaikan penyiapan terpandu yang mencakup langkah-langkah berikut:

1. Buat kumpulan tenaga kerja: Workforce identity pool membantu Anda mengelola identitas dan aksesnya ke resource. Anda memasukkan detail berikut dalam format yang dapat dibaca manusia.
   • ID pool tenaga kerja: ID unik secara global yang digunakan di IAM.
   • ID Penyedia: Nama untuk penyedia Anda, yang akan ditentukan pengguna saat mereka login ke Google Cloud.
2. Konfigurasi Google Cloud di penyedia Anda: Penyiapan terpandu mencakup langkah-langkah spesifik untuk penyedia Anda.
3. Masukkan detail kumpulan tenaga kerja penyedia Anda: Untuk menambahkan penyedia Anda sebagai otoritas tepercaya untuk menegaskan identitas, ambil detail dari penyedia Anda dan tambahkan ke Google Cloud:
4. Konfigurasi set awal grup administratif: Penyiapan terpandu mencakup langkah-langkah khusus untuk penyedia Anda. Anda menetapkan grup di penyedia dan membuat koneksi ke Google Cloud. Untuk mengetahui deskripsi mendetail setiap grup, lihat Membuat grup administratif.
5. Tetapkan pengguna ke setiap grup: Sebaiknya Anda menetapkan lebih dari satu pengguna ke setiap grup.

Untuk mengetahui informasi latar belakang tentang proses koneksi untuk setiap penyedia, lihat berikut ini:

• Mengonfigurasi Workforce Identity Federation dengan Azure AD dan pengguna yang login.
• Mengonfigurasi Workforce Identity Federation dengan Okta dan pengguna yang login
• Untuk penyedia lain yang mendukung OIDC atau SAML, lihat Mengonfigurasi Workforce Identity Federation

Langkah berikutnya

Tetapkan izin ke grup administrator Anda.

Dalam tugas ini, Anda menggunakan Identity and Access Management (IAM) untuk menetapkan kumpulan izin kepada grup administrator di tingkat organisasi. Proses ini memberi administrator visibilitas dan kontrol terpusat atas setiap resource cloud yang menjadi milik organisasi Anda.

Untuk ringkasan Identity and Access Management di Google Cloud, lihat Ringkasan IAM.

Yang melakukan tugas ini

Untuk melakukan tugas ini, Anda harus menjadi salah satu dari berikut:

• Pengguna administrator super.
• Pengguna dengan peran Administrator Organisasi (roles/resourcemanager.organizationAdmin).

Yang Anda lakukan dalam tugas ini

• Tinjau daftar peran default yang ditetapkan ke setiap grup administrator yang Anda buat dalam tugas Pengguna dan grup.

• Jika ingin menyesuaikan grup, Anda dapat melakukan hal berikut:

  • Menambahkan atau menghapus peran.
  • Jika tidak berencana menggunakan grup, Anda dapat menghapusnya.

Alasan kami merekomendasikan tugas ini

Anda harus memberikan semua peran administratif untuk organisasi Anda secara eksplisit. Tugas ini membantu Anda menerapkan praktik terbaik keamanan berikut:

• Prinsip hak istimewa terendah: Beri pengguna izin minimum yang diperlukan untuk melakukan tugas mereka, dan hapus akses segera setelah tidak diperlukan lagi.

• Kontrol akses berbasis peran (RBAC): Tetapkan izin ke grup pengguna sesuai dengan tugas mereka. Jangan memberikan peran ke akun pengguna perorangan.

Sebelum memulai

Selesaikan tugas-tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Tambahkan pengguna dan buat grup di tugas Pengguna dan grup.

Memberikan akses ke grup administrator

Untuk memberikan akses yang sesuai ke setiap grup administrator yang Anda buat di tugas Pengguna dan grup, tinjau peran default yang ditetapkan ke setiap grup. Anda dapat menambahkan atau menghapus peran untuk menyesuaikan akses setiap grup.

1. Pastikan Anda login ke konsol Google Cloud sebagai pengguna administrator super.

   Atau, Anda dapat login sebagai pengguna dengan peran Administrator Organisasi (roles/resourcemanager.organizationAdmin).

2. Buka Google Cloud Penyiapan: Akses administratif.

   Buka Akses administratif

3. Pilih nama organisasi Anda dari menu drop-down Select from di bagian atas halaman.

4. Tinjau ringkasan tugas, lalu klik Lanjutkan akses administratif.

5. Tinjau grup di kolom Grup (Principal) yang Anda buat di tugas Pengguna & grup.

6. Untuk setiap grup, tinjau peran IAM default. Anda dapat menambahkan atau menghapus peran yang ditetapkan ke setiap grup agar sesuai dengan kebutuhan unik organisasi Anda.

   Setiap peran berisi beberapa izin yang memungkinkan pengguna melakukan tugas yang relevan. Untuk mengetahui informasi selengkapnya tentang izin di setiap peran, lihat Referensi peran dasar dan bawaan IAM.

7. Jika Anda sudah siap menetapkan peran untuk setiap grup, klik Simpan dan berikan akses.

Langkah berikutnya

Siapkan penagihan.

Dalam tugas ini, Anda menyiapkan akun penagihan untuk membayar resource Google Cloud. Untuk melakukannya, Anda mengaitkan salah satu hal berikut dengan organisasi Anda.

• Akun Penagihan Cloud yang ada. Jika tidak memiliki akses ke akun, Anda dapat meminta akses dari administrator akun penagihan Anda.

• Akun Penagihan Cloud baru.

Untuk mengetahui informasi selengkapnya tentang penagihan, lihat dokumentasi Penagihan Cloud.

Yang melakukan tugas ini

Pengguna di grup gcp-billing-admins@YOUR_DOMAIN yang Anda buat dalam tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

• Buat atau gunakan akun Penagihan Cloud layanan mandiri yang ada.
• Tentukan apakah akan beralih dari akun layanan mandiri ke akun dengan invoice.
• Siapkan akun Penagihan Cloud dan metode pembayaran.

Alasan kami merekomendasikan tugas ini

Akun Penagihan Cloud ditautkan ke satu atau beberapa Google Cloud project dan digunakan untuk membayar resource yang Anda gunakan, seperti mesin virtual, networking, dan penyimpanan.

Menentukan jenis akun penagihan Anda

Akun penagihan yang Anda kaitkan dengan organisasi Anda adalah salah satu jenis berikut.

• Layanan mandiri (atau online): Mendaftar online menggunakan kartu kredit atau debit. Sebaiknya pilih opsi ini jika Anda adalah usaha kecil atau perorangan. Saat Anda mendaftar akun penagihan secara online, akun Anda akan otomatis disiapkan sebagai akun layanan mandiri.

• Dengan invoice (atau offline). Jika sudah memiliki akun penagihan layanan mandiri, Anda mungkin memenuhi syarat untuk mengajukan permohonan penagihan dengan invoice jika bisnis Anda memenuhi persyaratan kelayakan.

Anda tidak dapat membuat akun dengan invoice secara online, tetapi Anda dapat mengajukan permohonan untuk mengonversi akun layanan mandiri menjadi akun dengan invoice.

Untuk mengetahui informasi selengkapnya, lihat Jenis akun Penagihan Cloud.

Sebelum memulai

Selesaikan tugas-tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Tambahkan pengguna dan buat grup di tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.

Menyiapkan akun penagihan

Setelah memilih jenis akun penagihan, hubungkan akun penagihan dengan organisasi Anda. Setelah menyelesaikan proses ini, Anda dapat menggunakan akun penagihan untuk membayar resource Google Cloud .

1. Login ke konsol Google Cloud sebagai pengguna dari grup gcp-billing-admins@YOUR_DOMAIN.

2. Buka Google Cloud Penyiapan: Penagihan.

   Buka Penagihan

3. Tinjau ringkasan tugas, lalu klik Lanjutkan penagihan.

4. Pilih salah satu opsi akun penagihan berikut:

   Buat akun baru

   Jika organisasi Anda belum memiliki akun, buat akun baru.

   1. Pilih Saya ingin membuat akun penagihan baru.
   2. Klik Lanjutkan.

   3. Pilih jenis akun penagihan yang ingin Anda buat. Untuk mengetahui langkah-langkah mendetailnya, lihat langkah-langkah berikut:

      • Untuk membuat akun layanan mandiri baru, lihat Membuat akun Penagihan Cloud layanan mandiri baru.
      • Untuk mengalihkan akun layanan mandiri yang ada ke penagihan dengan invoice, lihat Mengajukan permohonan penagihan dengan invoice bulanan.

   4. Pastikan akun penagihan Anda telah dibuat:

      1. Jika Anda membuat akun yang ditagih, tunggu hingga 5 hari kerja untuk menerima konfirmasi email.

      2. Buka halaman Penagihan.

      3. Pilih organisasi Anda dari daftar Select from di bagian atas halaman. Jika berhasil dibuat, akun akan ditampilkan dalam daftar akun penagihan.

   Gunakan akun saya yang sudah ada

   Jika sudah memiliki akun penagihan, Anda dapat mengaitkannya dengan organisasi Anda.

   1. Pilih Saya menemukan akun penagihan dari daftar ini yang ingin saya gunakan untuk menyelesaikan langkah-langkah penyiapan.
   2. Dari menu drop-down Penagihan, pilih akun yang ingin Anda kaitkan dengan organisasi Anda.
   3. Klik Lanjutkan.
   4. Tinjau detailnya, lalu klik Konfirmasi akun penagihan.

   Menggunakan akun pengguna lain

   Jika pengguna lain memiliki akses ke akun penagihan yang ada, Anda dapat meminta pengguna tersebut untuk mengaitkan akun penagihan dengan organisasi Anda, atau pengguna tersebut dapat memberi Anda akses untuk menyelesaikan pengaitan.

   1. Pilih Saya ingin menggunakan akun penagihan yang dikelola oleh akun pengguna Google lain.
   2. Klik Lanjutkan.
   3. Masukkan alamat email administrator akun penagihan.
   4. Klik Hubungi administrator.
   5. Tunggu hingga administrator akun penagihan menghubungi Anda untuk memberikan petunjuk lebih lanjut.

Langkah berikutnya

Buat hierarki resource dan tetapkan akses.

Dalam tugas ini, Anda akan menyiapkan hierarki resource dengan membuat dan menetapkan akses ke resource berikut:

Folder

Menyediakan mekanisme pengelompokan dan batas isolasi antar-project. Misalnya, folder dapat menunjukkan departemen di organisasi Anda seperti keuangan atau retail.

Folder lingkungan, seperti Production, dalam hierarki resource Anda adalah folder yang mendukung aplikasi. Anda dapat menentukan dan mengelola aplikasi di folder ini.

Project

Berisi Google Cloud resource Anda, seperti mesin virtual, database , dan bucket penyimpanan. Setiap folder yang mendukung aplikasi juga berisi project pengelolaan, yang membantu Anda mengelola akses, penagihan, kemampuan observasi, dan fungsi administratif lainnya untuk aplikasi Anda.

Untuk pertimbangan desain dan praktik terbaik dalam mengatur resource Anda dalam project, lihat Menentukan hierarki resource untuk zona landing Google Cloud .

Yang melakukan tugas ini

Pengguna di grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat dalam tugas Pengguna dan grup dapat melakukan tugas ini.

Yang Anda lakukan dalam tugas ini

• Buat struktur hierarki awal yang mencakup folder dan project.
• Tetapkan kebijakan IAM untuk mengontrol akses ke folder dan project Anda.

Alasan kami merekomendasikan tugas ini

Membuat struktur untuk folder dan project membantu Anda mengelola Google Cloud resource dan aplikasi. Anda dapat menggunakan struktur untuk memberikan akses berdasarkan cara kerja organisasi Anda. Misalnya, Anda dapat mengatur dan memberikan akses berdasarkan kumpulan unik wilayah geografis, struktur anak perusahaan, atau kerangka kerja akuntabilitas organisasi Anda.

Merencanakan hierarki resource

Hierarki resource membantu Anda membuat batasan, dan membagikan resource di seluruh organisasi untuk tugas umum. Anda membuat hierarki menggunakan salah satu konfigurasi awal berikut, berdasarkan struktur organisasi Anda:

• Berorientasi pada lingkungan yang sederhana:

  • Mengisolasi lingkungan seperti Non-production dan Production.
  • Terapkan kebijakan, persyaratan peraturan, dan kontrol akses yang berbeda di setiap folder lingkungan.
  • Cocok untuk perusahaan kecil dengan lingkungan terpusat.

• Berorientasi pada tim yang sederhana:

  • Mengisolasi tim seperti Development dan QA.
  • Mengisolasi akses ke resource menggunakan folder lingkungan turunan di setiap folder tim.
  • Cocok untuk perusahaan kecil dengan tim yang mandiri.

• Berorientasi pada lingkungan:

  • Prioritaskan isolasi lingkungan seperti Non-production dan Production.
  • Di setiap folder lingkungan, pisahkan unit bisnis.
  • Di setiap unit bisnis, pisahkan tim.
  • Cocok untuk perusahaan besar dengan lingkungan terpusat.

• Berorientasi pada unit bisnis:

  • Prioritaskan isolasi unit bisnis seperti Human Resources dan Engineering untuk membantu memastikan bahwa pengguna hanya dapat mengakses resource dan data yang mereka butuhkan.
  • Di setiap unit bisnis, pisahkan tim.
  • Di setiap tim, isolasi lingkungan.
  • Cocok untuk perusahaan besar dengan tim otonom.

Setiap konfigurasi memiliki folder Common untuk project yang berisi resource bersama. Hal ini dapat mencakup project pencatatan log dan pemantauan.

Sebelum memulai

Selesaikan tugas-tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Tambahkan pengguna dan buat grup di tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Penagihan.

Mengonfigurasi folder dan project awal

Pilih hierarki resource yang mewakili struktur organisasi Anda.

Untuk mengonfigurasi folder dan project awal, lakukan hal berikut:

1. Login ke konsol Google Cloud sebagai pengguna dari grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup.

2. Pilih organisasi Anda dari menu drop-down Select from di bagian atas halaman.

3. Buka Google Cloud Penyiapan: Hierarki & akses.

   Buka Hierarki & akses

4. Tinjau ringkasan tugas, lalu klik Mulai di samping Hierarki resource.

5. Pilih konfigurasi awal.

6. Klik Lanjutkan dan konfigurasi.

7. Sesuaikan hierarki resource Anda untuk mencerminkan struktur organisasi Anda. Misalnya, Anda dapat menyesuaikan hal berikut:

   • Nama folder.

   • Project layanan untuk setiap tim. Untuk memberikan akses ke project layanan, Anda dapat membuat hal berikut:

     • Grup untuk setiap project layanan.
     • Pengguna di setiap grup.

     Untuk mengetahui ringkasan project layanan, lihat VPC Bersama.

   • Project yang diperlukan untuk pemantauan, logging, dan jaringan.

   • Project kustom.

8. Klik Lanjutkan.

9. Memberikan akses ke folder dan project Anda.

Memberikan akses ke folder dan project Anda

Dalam tugas Akses administratif, Anda memberikan akses administratif ke grup di tingkat organisasi. Dalam tugas ini, Anda akan mengonfigurasi akses ke grup yang berinteraksi dengan folder dan project yang baru dikonfigurasi.

Setiap project, folder, dan organisasi memiliki kebijakan IAM-nya sendiri, yang diwariskan melalui hierarki resource:

• Organisasi: Kebijakan berlaku untuk semua folder dan project dalam organisasi.
• Folder: Kebijakan berlaku untuk project dan folder lain di dalam folder.
• Project: Kebijakan hanya berlaku untuk project tersebut dan resource-nya.

Perbarui kebijakan IAM untuk folder dan project Anda:

1. Di bagian Konfigurasi kontrol akses pada Hierarki & akses, berikan akses grup Anda ke folder dan project Anda:

   1. Dalam tabel, tinjau daftar peran IAM yang direkomendasikan yang diberikan kepada setiap grup untuk setiap resource.

   2. Jika Anda ingin mengubah peran yang ditetapkan ke setiap grup, klik Edit di baris yang diinginkan.

      Untuk mengetahui informasi selengkapnya tentang setiap peran, lihat Peran dasar dan bawaan IAM.

2. Klik Lanjutkan.

3. Tinjau perubahan Anda, lalu klik Konfirmasi konfigurasi draf.

Mengonfigurasi penagihan untuk project pengelolaan

Setelah men-deploy konfigurasi, Anda harus mengonfigurasi penagihan untuk setiap project pengelolaan. Akun penagihan diperlukan untuk membayar API yang memiliki biaya terkait. Untuk mengetahui informasi selengkapnya, lihat Menautkan akun penagihan untuk project pengelolaan.

Langkah berikutnya

Konfigurasi setelan keamanan.

Dalam tugas ini, Anda akan mengonfigurasi setelan dan produk keamanan untuk membantu melindungi organisasi Anda.

Yang melakukan tugas ini

Anda harus memiliki salah satu hal berikut untuk menyelesaikan tugas ini:

• Peran Administrator Organisasi (roles/resourcemanager.organizationAdmin).
• Keanggotaan dalam salah satu grup berikut yang Anda buat di tugas Pengguna dan grup:
  • gcp-organization-admins@<your-domain>.com
  • gcp-security-admins@<your-domain>.com

Yang Anda lakukan dalam tugas ini

Terapkan kebijakan organisasi yang direkomendasikan berdasarkan kategori berikut:

• Pengelolaan akses.
• Perilaku akun layanan.
• Konfigurasi jaringan VPC.
• Cloud KMS dengan Autokey—hanya tersedia untuk opsi dasar Keamanan yang ditingkatkan.

Anda juga mengaktifkan Security Command Center untuk memusatkan pelaporan kerentanan dan ancaman.

Alasan kami merekomendasikan tugas ini

Menerapkan kebijakan organisasi yang direkomendasikan akan membantu Anda membatasi tindakan pengguna yang tidak sesuai dengan postur keamanan Anda.

Mengaktifkan Security Command Center membantu Anda membuat lokasi pusat untuk menganalisis kerentanan dan ancaman.

Menerapkan dan mengotomatiskan Cloud KMS dengan Autokey membantu Anda menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) secara konsisten untuk melindungi resource Anda.

Sebelum memulai

Selesaikan tugas-tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Tambahkan pengguna dan buat grup di tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.

Mulai tugas keamanan

1. Login ke konsol Google Cloud dengan pengguna yang Anda identifikasi di Siapa yang melakukan tugas ini.

2. Pilih organisasi Anda dari drop-down Pilih dari di bagian atas halaman.

3. Buka Google Cloud Penyiapan: Keamanan.

   Buka Keamanan

4. Tinjau ringkasan tugas, lalu klik Mulai Keamanan.

Memusatkan pelaporan kerentanan dan ancaman

Untuk memusatkan layanan pelaporan kerentanan dan ancaman, aktifkan Security Command Center. Hal ini membantu Anda memperkuat postur keamanan dan memitigasi risiko. Untuk informasi selengkapnya, lihat Ringkasan Security Command Center.

1. Di halaman Google Cloud Setup: Security, pastikan kotak centang Enable Security Command Center: Standard sudah dicentang.

   Tugas ini mengaktifkan paket Standar gratis. Anda dapat melakukan upgrade ke versi Premium nanti. Untuk mengetahui informasi selengkapnya, lihat Tingkat layanan Security Command Center.

2. Klik Terapkan setelan SCC.

Menerapkan kebijakan organisasi yang direkomendasikan

Kebijakan organisasi berlaku di level organisasi, dan diwariskan oleh folder dan project. Dalam tugas ini, tinjau dan terapkan daftar kebijakan yang direkomendasikan. Anda dapat mengubah kebijakan organisasi kapan saja. Untuk mengetahui informasi selengkapnya, lihat Pengantar Layanan Kebijakan Organisasi.

1. Tinjau daftar kebijakan organisasi yang direkomendasikan. Jika Anda tidak ingin menerapkan kebijakan yang direkomendasikan, klik kotak centangnya untuk menghapusnya.

   Untuk penjelasan mendetail tentang setiap kebijakan organisasi, lihat Batasan kebijakan organisasi.

2. Klik Konfirmasi konfigurasi kebijakan organisasi.

Kebijakan organisasi yang Anda pilih akan diterapkan saat Anda men-deploy konfigurasi dalam tugas selanjutnya.

Menerapkan dan mengotomatiskan kunci enkripsi pelanggan

Cloud KMS dengan Autokey memungkinkan developer di organisasi Anda membuat kunci enkripsi simetris saat diperlukan untuk melindungi resource Anda. Google CloudAnda dapat mengonfigurasi Cloud KMS dengan Autokey jika Anda memilih opsi dasar Keamanan yang ditingkatkan.

1. Tinjau deskripsi Cloud KMS dengan Autokey, lalu untuk Gunakan Cloud KMS dengan Autokey dan terapkan kebijakan organisasi, klik Ya (direkomendasikan).
2. Klik Konfirmasi konfigurasi pengelolaan kunci.

Konfigurasi berikut diterapkan saat Anda men-deploy konfigurasi dalam tugas selanjutnya:

• Siapkan project Autokey di setiap folder lingkungan hierarki Anda.
• Aktifkan Cloud KMS dengan Autokey di folder lingkungan.
• Mewajibkan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK) untuk resource yang dibuat di setiap folder lingkungan.
• Membatasi setiap folder agar hanya menggunakan kunci Cloud KMS di project Autokey untuk folder tersebut.

Langkah berikutnya

Logging dan pemantauan terpusat.

Dalam tugas ini, Anda akan mengonfigurasi hal berikut:

• Logging terpusat untuk membantu Anda menganalisis dan mendapatkan insight dari log untuk semua project di organisasi Anda.
• Pemantauan terpusat untuk membantu Anda memvisualisasikan metrik di semua project yang dibuat dalam penyiapan ini.

Yang melakukan tugas ini

Untuk menyiapkan logging dan pemantauan, Anda harus memiliki salah satu hal berikut:

• Peran Logging Admin (roles/logging.admin) dan Monitoring Admin (roles/monitoring.admin).
• Keanggotaan dalam salah satu grup berikut yang Anda buat di tugas Pengguna dan grup:
  • gcp-organization-admins@YOUR_DOMAIN
  • gcp-security-admins@YOUR_DOMAIN
  • gcp-logging-monitoring-admins@YOUR_DOMAIN

Yang Anda lakukan dalam tugas ini

Anda akan melakukan hal berikut dalam tugas ini:

• Mengatur log yang dibuat di project di seluruh organisasi Anda secara terpusat untuk membantu keamanan, audit, dan kepatuhan.
• Konfigurasi project pemantauan pusat agar memiliki akses ke metrik pemantauan di seluruh project yang Anda buat dalam penyiapan ini.

Alasan kami merekomendasikan tugas ini

Penyimpanan dan retensi log menyederhanakan analisis dan mempertahankan jejak audit Anda. Pemantauan terpusat memberi Anda tampilan metrik di satu tempat.

Sebelum memulai

Selesaikan tugas-tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Tambahkan pengguna dan buat grup di tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Penagihan.
• Siapkan hierarki Anda dan tetapkan akses di tugas Hierarki dan akses.

Mengatur logging secara terpusat

Cloud Logging membantu Anda menyimpan, menelusuri, menganalisis, memantau, serta membuat pemberitahuan terkait data dan peristiwa log dari Google Cloud. Anda juga dapat mengumpulkan dan memproses log dari aplikasi, resource lokal, dan cloud lainnya. Sebaiknya gunakan Cloud Logging untuk menggabungkan log ke dalam satu bucket log.

Untuk informasi selengkapnya, lihat referensi berikut:

• Untuk ringkasannya, lihat Ringkasan pemilihan rute dan penyimpanan.
• Untuk mengetahui informasi tentang logging resource lokal, lihat Logging resource lokal dengan BindPlane.
• Untuk mengetahui langkah-langkah mengubah filter log setelah Anda men-deploy konfigurasi, lihat Filter penyertaan.

Untuk menyimpan data log Anda di bucket log pusat, lakukan hal berikut:

1. Login ke konsol Google Cloud sebagai pengguna yang Anda identifikasi di bagian Siapa yang melakukan tugas ini.

2. Pilih organisasi Anda dari menu drop-down Select from di bagian atas halaman.

3. Buka Google Cloud Penyiapan: Logging dan pemantauan terpusat.

   Buka Logging dan pemantauan terpusat

4. Tinjau ringkasan tugas, lalu klik Mulai logging & pemantauan terpusat.

5. Tinjau detail tugas.

6. Untuk merutekan log ke bucket log pusat, pastikan Simpan log audit tingkat organisasi dalam bucket log dipilih.

7. Luaskan Route logs to a Logging log bucket dan lakukan hal berikut:

   1. Di kolom Log bucket name, masukkan nama untuk bucket log pusat.

   2. Dari daftar Log bucket region, pilih region tempat data log Anda disimpan.

      Untuk mengetahui informasi selengkapnya, lihat Lokasi bucket log.

   3. Secara default, log disimpan selama 30 hari. Sebaiknya perusahaan besar menyimpan log selama 365 hari. Untuk menyesuaikan periode retensi, masukkan jumlah hari di kolom Periode retensi.

      Log yang disimpan lebih dari 30 hari akan dikenakan biaya retensi. Untuk mengetahui informasi selengkapnya, lihat ringkasan harga Cloud Logging.

Mengekspor log di luar Google Cloud

Jika ingin mengekspor log ke tujuan di luar Google Cloud, Anda dapat mengekspor menggunakan Pub/Sub. Misalnya, jika Anda menggunakan beberapa penyedia cloud, Anda dapat memutuskan untuk mengekspor data log dari setiap penyedia cloud ke alat pihak ketiga.

Anda dapat memfilter log yang diekspor untuk memenuhi kebutuhan dan persyaratan unik Anda. Misalnya, Anda dapat memilih untuk membatasi jenis log yang Anda ekspor untuk mengontrol biaya atau mengurangi gangguan dalam data Anda.

Untuk mengetahui informasi selengkapnya tentang cara mengekspor log, lihat artikel berikut:

• Untuk ringkasan, lihat Apa yang dimaksud dengan Pub/Sub?
• Untuk mengetahui informasi harga, lihat referensi berikut:
  • Harga Pub/Sub.
  • Praktik terbaik untuk Cloud Audit Logs: Harga.
• Untuk mengetahui informasi tentang streaming ke Splunk, lihat Mengalirkan log dari Google Cloud ke Splunk.

Untuk mengekspor log, lakukan hal berikut:

1. Klik Streaming log Anda ke aplikasi lain, repositori lain, atau pihak ketiga.

2. Di kolom ID topik Pub/Sub, masukkan ID untuk topik yang berisi log yang diekspor. Untuk mengetahui informasi tentang berlangganan topik, lihat Langganan pull.

3. Untuk memilih log yang akan diekspor, lakukan hal berikut:

   1. Untuk mengetahui informasi tentang setiap jenis log, lihat Memahami Cloud Audit Logs.

   2. Untuk mencegah salah satu log yang direkomendasikan berikut diekspor, klik daftar Filter penyertaan dan hapus centang pada kotak log:

      • Log Audit Cloud: Aktivitas Admin: Panggilan atau tindakan API yang mengubah konfigurasi atau metadata resource.
      • Log audit Cloud: Peristiwa Sistem: Google Cloud tindakan yang mengubah konfigurasi resource.
      • Transparansi Akses: Tindakan yang dilakukan personel Google saat mengakses konten pelanggan.

   3. Pilih log tambahan berikut untuk mengekspornya:

      • Log Audit Cloud: Akses Data: Panggilan API yang membaca konfigurasi atau metadata resource, dan panggilan API berbasis pengguna yang membuat, mengubah, atau membaca data resource yang disediakan pengguna.
      • Log Audit Cloud: Kebijakan Ditolak:Penolakan akses layanan Google Cloud ke akun pengguna atau layanan, berdasarkan pelanggaran kebijakan keamanan.

   4. Log yang Anda pilih pada langkah ini hanya diekspor jika diaktifkan di project atau resource Anda. Untuk mengetahui langkah-langkah mengubah filter log untuk project dan resource setelah Anda men-deploy konfigurasi, lihat Filter penyertaan.

   5. Klik Oke.

4. Klik Lanjutkan ke Monitoring.

Menyiapkan pemantauan terpusat

Pemantauan terpusat membantu Anda menganalisis kondisi, performa, dan keamanan sistem untuk beberapa project. Dalam tugas ini, Anda menambahkan project yang dibuat selama tugas Hierarki dan akses ke project pencakupan. Kemudian, Anda dapat memantau project tersebut dari project cakupan. Setelah menyelesaikan penyiapan Cloud, Anda dapat mengonfigurasi project lain untuk dipantau oleh project cakupan.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan cakupan metrik.

Untuk menyiapkan pemantauan terpusat, lakukan hal berikut:

1. Untuk mengonfigurasi project yang dibuat selama Google Cloud Penyiapan untuk pemantauan terpusat, pastikan Gunakan pemantauan terpusat dipilih.

   Project yang Anda buat selama Penyiapan ditambahkan ke cakupan metrik dari Project pencakupan yang tercantum. Google Cloud

2. Cloud Monitoring mencakup alokasi bulanan gratis. Untuk mengetahui informasi selengkapnya, lihat ringkasan harga Cloud Monitoring.

3. Untuk mengetahui langkah-langkah mengonfigurasi project yang Anda buat di luar Penyiapan Google Cloud , lihat bagian berikut:

   • Mengonfigurasi cakupan metrik.
   • Batas project yang dipantau.

Menyelesaikan konfigurasi

Untuk menyelesaikan tugas logging dan pemantauan, lakukan hal berikut:

1. Klik Confirm Configuration.

2. Tinjau detail konfigurasi logging dan pemantauan Anda. Konfigurasi Anda tidak di-deploy hingga Anda men-deploy setelan di tugas berikutnya.

Langkah berikutnya

Siapkan konfigurasi jaringan awal Anda.

Dalam tugas ini, Anda menyiapkan konfigurasi jaringan awal, yang dapat Anda sesuaikan skalanya seiring perubahan kebutuhan Anda.

Arsitektur Virtual Private Cloud

Jaringan Virtual Private Cloud (VPC) adalah versi virtual dari jaringan fisik yang diterapkan di dalam jaringan produksi Google. Jaringan VPC adalah resource global yang terdiri dari subnetwork (subnet) regional.

Jaringan VPC menyediakan kemampuan jaringan untuk resource Google Cloud Anda, seperti instance virtual machine Compute Engine, container GKE, dan instance lingkungan fleksibel App Engine.

VPC Bersama menghubungkan resource dari beberapa project ke jaringan VPC umum sehingga resource dapat berkomunikasi satu sama lain menggunakan alamat IP internal jaringan. Diagram berikut menunjukkan arsitektur dasar jaringan VPC Bersama dengan project layanan yang terlampir.

Saat menggunakan VPC Bersama, Anda menetapkan project host dan melampirkan satu atau beberapa project layanan ke project host tersebut. Jaringan Virtual Private Cloud dalam project host disebut jaringan VPC Bersama.

Diagram contoh memiliki project host produksi dan non-produksi, yang masing-masing berisi jaringan VPC Bersama. Anda dapat menggunakan project host untuk mengelola hal berikut secara terpusat:

• Rute
• Firewall
• Koneksi VPN
• Subnet

Project layanan adalah project yang dilampirkan ke project host. Anda dapat membagikan subnet, termasuk rentang sekunder, antara project host dan layanan.

Dalam arsitektur ini, setiap jaringan VPC Bersama berisi subnet publik dan pribadi:

• Subnet publik dapat digunakan oleh instance yang terhubung ke internet untuk konektivitas eksternal.
• Subnet pribadi dapat digunakan oleh instance yang terhubung ke internal yang tidak dialokasikan alamat IP publik.

Dalam tugas ini, Anda akan membuat konfigurasi jaringan awal berdasarkan contoh diagram.

Yang melakukan tugas ini

Anda memerlukan salah satu hal berikut untuk melakukan tugas ini:

• Peran roles/compute.networkAdmin.
• Pencantuman dalam grup gcp-network-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

Buat konfigurasi jaringan awal, termasuk yang berikut:

• Buat beberapa project host untuk mencerminkan lingkungan pengembangan Anda.
• Buat jaringan VPC Bersama di setiap project host untuk memungkinkan resource yang berbeda berbagi jaringan yang sama.
• Buat subnet yang berbeda di setiap jaringan VPC Bersama untuk memberikan akses jaringan ke project layanan.

Alasan kami merekomendasikan tugas ini

Tim yang berbeda dapat menggunakan VPC Bersama untuk terhubung ke jaringan VPC yang umum dan dikelola secara terpusat.

Sebelum memulai

Selesaikan tugas-tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Tambahkan pengguna dan buat grup di tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Penagihan.
• Siapkan hierarki Anda dan tetapkan akses di tugas Hierarki dan akses.

Mengonfigurasi arsitektur jaringan Anda

Buat konfigurasi jaringan awal Anda dengan dua project host untuk menyegmentasikan workload non-produksi dan produksi. Setiap project host berisi jaringan VPC Bersama, yang dapat digunakan oleh beberapa project layanan. Anda mengonfigurasi detail jaringan, lalu men-deploy file konfigurasi dalam tugas berikutnya.

Untuk mengonfigurasi jaringan awal Anda, lakukan hal berikut.

1. Login ke konsol Google Cloud sebagai pengguna dari grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup.

2. Pilih organisasi Anda dari menu drop-down Pilih organisasi di bagian atas halaman.

3. Buka Google Cloud Penyiapan: Jaringan.

   Buka Networking

4. Tinjau arsitektur jaringan default.

5. Untuk mengedit nama jaringan, lakukan hal berikut:

   1. Klik more_vert Tindakan.
   2. Pilih Edit nama jaringan.
   3. Di kolom Network name, masukkan huruf kecil, angka, atau tanda hubung. Nama jaringan tidak boleh melebihi 25 karakter.
   4. Klik Simpan.

Mengubah detail firewall

Aturan firewall default di project host didasarkan pada praktik terbaik yang direkomendasikan. Anda dapat memilih untuk menonaktifkan satu atau beberapa aturan firewall default. Untuk mengetahui informasi umum tentang aturan firewall, lihat Aturan firewall VPC.

Untuk mengubah setelan firewall, lakukan hal berikut:

1. Klik more_vert Tindakan.

2. Pilih Edit aturan firewall.

3. Untuk mengetahui informasi mendetail tentang setiap aturan firewall default, lihat Aturan yang sudah diisi di jaringan default.

4. Untuk menonaktifkan aturan firewall, hapus centang pada kotak yang sesuai.

5. Untuk menonaktifkan Firewall Rules Logging, klik Nonaktif.

   Secara default, traffic ke dan dari instance Compute Engine dicatat untuk tujuan audit. Proses ini dikenai biaya. Untuk mengetahui informasi selengkapnya, lihat Logging Aturan Firewall.

6. Klik Simpan.

Mengubah detail subnet

Setiap jaringan VPC berisi setidaknya satu subnet, yang merupakan resource regional dengan rentang alamat IP terkait. Dalam konfigurasi multi-regional ini, Anda harus memiliki setidaknya dua subnet dengan rentang IP yang tidak tumpang-tindih.

Untuk mengetahui informasi selengkapnya, lihat Subnet.

Setiap subnet dikonfigurasi menggunakan praktik terbaik yang direkomendasikan. Jika Anda ingin menyesuaikan setiap subnet, lakukan hal berikut:

1. Klik more_vert Tindakan.
2. Pilih Edit subnet.
3. Di kolom Name, masukkan huruf kecil, angka, atau tanda hubung. Nama subnet tidak boleh melebihi 25 karakter.

4. Dari drop-down Region, pilih region yang dekat dengan titik layanan Anda.

   Sebaiknya gunakan region yang berbeda untuk setiap subnet. Anda tidak dapat mengubah region setelah men-deploy konfigurasi. Untuk mengetahui informasi tentang cara memilih region, lihat Resource regional.

5. Di kolom Rentang alamat IP, masukkan rentang dalam notasi CIDR— misalnya, 10.0.0.0/24.

   Rentang yang Anda masukkan tidak boleh tumpang-tindih dengan subnet lain dalam jaringan ini. Untuk informasi tentang rentang yang valid, lihat Rentang subnet IPv4.

6. Ulangi langkah-langkah ini untuk Subnet 2.

7. Untuk mengonfigurasi subnet tambahan di jaringan ini, klik Tambahkan subnet dan ulangi langkah-langkah ini.

8. Klik Simpan.

Subnet Anda dikonfigurasi secara otomatis sesuai dengan praktik terbaik. Jika Anda ingin mengubah konfigurasi, di halaman Google Cloud Penyiapan: Jaringan VPC, lakukan hal berikut:

1. Untuk menonaktifkan VPC Flow Logs, dari kolom Flow logs, pilih Off.

   Jika log alur diaktifkan, setiap subnet akan mencatat alur jaringan yang dapat Anda analisis untuk keamanan, pengoptimalan biaya, dan tujuan lainnya. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Log Aliran VPC.

   VPC Flow Logs menimbulkan biaya. Untuk mengetahui informasi selengkapnya, lihat harga Virtual Private Cloud.

2. Untuk menonaktifkan Akses Google Pribadi, dari kolom Akses pribadi, pilih Nonaktif.

   Jika Akses Google Pribadi aktif, instance VM yang tidak memiliki alamat IP eksternal dapat menjangkau API dan layanan Google. Untuk mengetahui informasi selengkapnya, lihat Akses Google Pribadi.

3. Untuk mengaktifkan Cloud NAT, dari kolom Cloud NAT, pilih Aktif.

   Jika Cloud NAT aktif, resource tertentu dapat membuat koneksi keluar ke internet. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Cloud NAT.

   Cloud NAT menimbulkan biaya. Untuk mengetahui informasi selengkapnya, lihat harga Virtual Private Cloud.

4. Klik Lanjutkan untuk menautkan project layanan.

Menautkan project layanan ke project host Anda

Project layanan adalah project yang telah dilampirkan ke project host. Lampiran ini memungkinkan project layanan berpartisipasi dalam VPC Bersama. Setiap project layanan dapat dioperasikan dan dikelola oleh departemen atau tim yang berbeda untuk memisahkan tanggung jawab.

Untuk mengetahui informasi selengkapnya tentang cara menghubungkan beberapa project ke jaringan VPC umum, lihat Ringkasan VPC Bersama.

Untuk menautkan project layanan ke project host dan menyelesaikan konfigurasi, lakukan hal berikut:

1. Untuk setiap subnet dalam tabel Jaringan VPC Bersama, pilih project layanan yang akan dihubungkan. Untuk melakukannya, pilih dari drop-down Pilih project di kolom Project layanan.

   Anda dapat menghubungkan project layanan ke beberapa subnet.

2. Klik Lanjutkan untuk Meninjau.

3. Tinjau konfigurasi Anda, lalu lakukan perubahan.

   Anda dapat melakukan pengeditan hingga men-deploy file konfigurasi.

4. Klik Konfirmasi konfigurasi draf. Konfigurasi jaringan Anda ditambahkan ke file konfigurasi Anda.

   Jaringan Anda tidak di-deploy hingga Anda men-deploy file konfigurasi dalam tugas berikutnya.

Langkah berikutnya

Siapkan konektivitas hybrid, yang membantu Anda menghubungkan server lokal atau penyedia cloud lain ke Google Cloud.

Dalam tugas ini, Anda akan membuat koneksi antara jaringan peer (lokal atau cloud lainnya) dan jaringan Google Cloud Anda, seperti dalam diagram berikut.

Proses ini akan membuat VPN HA, yang merupakan solusi ketersediaan tinggi (HA) yang dapat Anda buat dengan cepat untuk mengirimkan data melalui internet publik.

Setelah men-deploy konfigurasi Google Cloud , sebaiknya buat koneksi yang lebih andal menggunakan Cloud Interconnect.

Untuk mengetahui informasi selengkapnya tentang koneksi antara jaringan peer dan Google Cloud, lihat berikut ini:

• Ringkasan Cloud VPN
• Memilih produk Network Connectivity

Yang melakukan tugas ini

Anda harus memiliki peran Administrator Organisasi (roles/resourcemanager.organizationAdmin).

Yang Anda lakukan dalam tugas ini

Buat koneksi latensi rendah dengan ketersediaan tinggi antara jaringan VPC dan jaringan lokal atau jaringan cloud lainnya. Anda mengonfigurasi komponen berikut:

• Google Cloud Gateway VPN dengan ketersediaan tinggi (HA): Resource regional yang memiliki dua antarmuka, masing-masing dengan alamat IP-nya sendiri. Anda menentukan jenis stack IP, yang menentukan apakah traffic IPv6 didukung dalam koneksi Anda. Untuk informasi latar belakang, lihat VPN dengan ketersediaan tinggi (HA).
• Gateway VPN peer: Gateway di jaringan peer Anda, yang terhubung ke gateway VPN dengan ketersediaan tinggi (HA). Google CloudAnda memasukkan alamat IP eksternal yang digunakan gateway peer Anda untuk terhubung ke Google Cloud. Untuk informasi latar belakang, lihat Mengonfigurasi gateway VPN peer.
• Cloud Router: Menggunakan Border Gateway Protocol (BGP) untuk menukar rute secara dinamis antara VPC dan jaringan peer Anda. Anda menetapkan Autonomous System Number (ASN) sebagai ID untuk Cloud Router, dan menentukan ASN yang digunakan oleh router peer Anda. Untuk mengetahui informasi latar belakang, lihat Membuat Cloud Router untuk menghubungkan jaringan VPC ke jaringan peer.
• Tunnel VPN: Menghubungkan gateway Google Cloud ke gateway peer. Anda menentukan protokol Internet Key Exchange (IKE) yang akan digunakan untuk membuat tunnel. Anda dapat memasukkan kunci IKE yang sebelumnya dibuat sendiri atau membuat dan menyalin kunci baru. Untuk informasi latar belakang, lihat Mengonfigurasi IKE.

Alasan kami merekomendasikan tugas ini

VPN HA menyediakan koneksi yang aman dan memiliki ketersediaan tinggi antara infrastruktur yang ada dan Google Cloud.

Sebelum memulai

Selesaikan tugas-tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Tambahkan pengguna dan buat grup di tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Penagihan.
• Siapkan hierarki Anda dan tetapkan akses di tugas Hierarki dan akses.
• Konfigurasi jaringan Anda di tugas VPC networks.

Kumpulkan informasi berikut dari administrator jaringan rekan Anda:

• Nama gateway VPN peer Anda: Gateway yang terhubung ke Cloud VPN Anda.
• Alamat IP antarmuka peer 0: Alamat IP eksternal di gateway jaringan peer Anda.
• Alamat IP antarmuka peer 1: Alamat eksternal kedua, atau Anda dapat menggunakan kembali alamat IP 0 jika jaringan peer Anda hanya memiliki satu alamat IP eksternal.
• Nomor Sistem Otonom (ASN) Peer: ID unik yang ditetapkan ke router jaringan peer Anda.
• ASN Cloud Router: ID unik yang akan Anda tetapkan ke Cloud Router.
• Kunci Internet Key Exchange (IKE): Kunci yang Anda gunakan untuk membuat dua tunnel VPN dengan gateway VPN peer Anda. Jika tidak memiliki kunci yang ada, Anda dapat membuatnya selama penyiapan ini, lalu menerapkannya ke gateway peer.

Mengonfigurasi koneksi Anda

Lakukan hal berikut untuk menghubungkan jaringan VPC Anda ke jaringan peer:

1. Login sebagai pengguna dengan peran Administrator Organisasi.

2. Pilih organisasi Anda dari menu drop-down Select from di bagian atas halaman.

3. Buka Google Cloud Penyiapan: Konektivitas hybrid.

   Buka Konektivitas hybrid

4. Tinjau detail tugas dengan melakukan langkah-langkah berikut:

   1. Tinjau ringkasan tugas, lalu klik Mulai konektivitas hybrid.

   2. Klik setiap tab untuk mempelajari konektivitas hybrid, lalu klik Lanjutkan.

   3. Lihat apa yang akan terjadi di setiap langkah tugas, lalu klik Lanjutkan.

   4. Tinjau informasi konfigurasi gateway peer yang perlu Anda kumpulkan, lalu klik Lanjutkan.

5. Di area Koneksi hybrid, identifikasi jaringan VPC yang ingin Anda hubungkan, berdasarkan kebutuhan bisnis Anda.

6. Di baris untuk jaringan pertama yang Anda pilih, klik Konfigurasi.

7. Di area Configuration overview, baca deskripsi, lalu klik Next.

8. Di area Google Cloud gateway VPN dengan ketersediaan tinggi (HA), lakukan hal berikut:

   1. Di kolom Cloud VPN gateway name, masukkan hingga 60 karakter menggunakan huruf kecil, angka, dan tanda hubung.

   2. Di area Jenis stack IP dalam tunnel VPN, pilih salah satu jenis stack berikut:

      • IPv4 dan IPv6 (direkomendasikan): Dapat mendukung traffic IPv4 dan IPv6. Kami merekomendasikan setelan ini jika Anda berencana mengizinkan traffic IPv6 di tunnel Anda.
      • IPv4: Hanya dapat mendukung traffic IPv4.

      Jenis stack menentukan jenis traffic yang diizinkan di tunnel antara jaringan VPC dan jaringan peer Anda. Anda tidak dapat mengubah jenis stack setelah membuat gateway. Untuk informasi latar belakang, lihat referensi berikut:

      • Dukungan IPv6
      • Jenis stack dan sesi BGP

   3. Klik Berikutnya.

9. Di area Peer VPN gateway, lakukan hal berikut:

   1. Di kolom Nama gateway VPN peer, masukkan nama yang diberikan oleh administrator jaringan peer Anda. Anda dapat memasukkan hingga 60 karakter menggunakan huruf kecil, angka, dan tanda hubung.

   2. Di kolom Peer interface IP address 0, masukkan alamat IP eksternal antarmuka gateway peer yang disediakan oleh administrator jaringan peer Anda.

   3. Di kolom Peer interface IP address 1, lakukan salah satu hal berikut:

      • Jika gateway peer Anda memiliki antarmuka kedua, masukkan alamat IP-nya.
      • Jika gateway peer Anda hanya memiliki satu antarmuka, masukkan alamat yang sama dengan yang Anda masukkan di Alamat IP antarmuka peer 0.

      Untuk informasi latar belakang, lihat Mengonfigurasi gateway VPN peer.

   4. Klik Berikutnya.

10. Di area Cloud Router, lakukan hal berikut:

    1. Di kolom ASN Cloud Router, masukkan Nomor Sistem Otonom yang ingin Anda tetapkan ke Cloud Router, sebagaimana diberikan oleh administrator jaringan peer Anda. Untuk mengetahui informasi latar belakang, lihat Membuat Cloud Router.

    2. Di kolom Peer router ASN, masukkan Autonomous System Number router jaringan peer Anda, sebagaimana diberikan oleh administrator jaringan peer Anda.

11. Di area VPN tunnel 0, lakukan hal berikut:

    1. Di kolom Nama tunnel 0, masukkan hingga 60 karakter menggunakan huruf kecil, angka, dan tanda hubung.

    2. Di area IKE version, pilih salah satu opsi berikut:

       • IKEv2 - direkomendasikan: Mendukung traffic IPv6.
       • IKEv1: Gunakan setelan ini jika Anda tidak berencana mengizinkan traffic IPv6 dalam tunnel.

       Untuk informasi latar belakang, lihat Mengonfigurasi tunnel VPN.

    3. Di kolom IKE pre-shared key, masukkan kunci yang Anda gunakan dalam konfigurasi gateway peer, sebagaimana diberikan oleh administrator jaringan peer Anda. Jika Anda tidak memiliki kunci yang ada, Anda dapat mengklik Buat dan salin, lalu memberikan kunci tersebut kepada administrator jaringan peer Anda.

12. Di area VPN tunnel 1, ulangi langkah sebelumnya untuk menerapkan setelan bagi tunnel kedua. Anda mengonfigurasi tunnel ini untuk redundansi dan throughput tambahan.

13. Klik Simpan.

14. Ulangi langkah-langkah ini untuk jaringan VPC lain yang ingin Anda hubungkan ke jaringan peer.

Setelah Anda men-deploy

Setelah Anda men-deploy Google Cloud konfigurasi Penyiapan, selesaikan langkah-langkah berikut untuk memastikan koneksi jaringan Anda selesai:

1. Bekerja samalah dengan administrator jaringan pembanding untuk menyelaraskan jaringan pembanding dengan setelan konektivitas hybrid Anda. Setelah Anda men-deploy, petunjuk khusus diberikan untuk jaringan peer Anda, termasuk hal berikut:

   • Setelan tunnel.
   • Setelan firewall.
   • Setelan IKE.

2. Validasi koneksi jaringan yang Anda buat. Misalnya, Anda dapat menggunakan Network Intelligence Center untuk memeriksa konektivitas antar-jaringan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Uji Konektivitas.

3. Jika kebutuhan bisnis Anda memerlukan koneksi yang lebih andal, gunakan Cloud Interconnect. Untuk mengetahui informasi selengkapnya, lihat Memilih produk Network Connectivity.

Langkah berikutnya

Deploy konfigurasi Anda, yang mencakup setelan untuk hierarki dan akses, logging, jaringan, dan konektivitas hybrid.

Saat Anda menyelesaikan proses Penyiapan Google Cloud , setelan Anda dari tugas berikut dikompilasi ke dalam file konfigurasi Terraform:

• Hierarki dan akses
• Keamanan
• Logging dan pemantauan terpusat
• Jaringan VPC
• Konektivitas hybrid

Untuk menerapkan setelan, Anda meninjau pilihan dan memilih metode deployment.

Yang melakukan tugas ini

Pengguna di grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat dalam tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

Deploy file konfigurasi untuk menerapkan setelan penyiapan Anda.

Alasan kami merekomendasikan tugas ini

Anda harus men-deploy file konfigurasi untuk menerapkan setelan yang Anda pilih.

Sebelum memulai

Anda harus menyelesaikan tugas-tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Tambahkan pengguna dan buat grup di tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.
• Buat atau tautkan akun penagihan di tugas Penagihan.
• Siapkan hierarki Anda dan tetapkan akses di tugas Hierarki dan akses.

Sebaiknya lakukan tugas berikut:

• Perkuat postur keamanan Anda dengan menyiapkan layanan bebas biaya di tugas Keamanan.
• Gabungkan data log di satu lokasi dan pantau semua project dari satu project dalam tugas Logging dan pemantauan terpusat.
• Konfigurasi jaringan awal Anda dalam tugas VPC networks.
• Hubungkan jaringan peer ke Google Cloud dalam tugas Konektivitas hybrid.

Meninjau detail konfigurasi Anda

Lakukan hal berikut untuk memastikan setelan konfigurasi Anda selesai:

1. Login ke konsol Google Cloud sebagai pengguna dari grup gcp-organization-admins@YOUR_DOMAIN yang Anda buat di tugas Pengguna dan grup.

2. Pilih organisasi Anda dari menu drop-down Select from di bagian atas halaman.

3. Buka Google Cloud Penyiapan: Deploy atau download.

   Buka Deploy atau Download

4. Tinjau setelan konfigurasi yang Anda pilih. Klik setiap tab berikut dan tinjau setelan Anda:

   • Hierarki & akses resource
   • Keamanan
   • Logging & pemantauan
   • Jaringan VPC
   • Konektivitas hybrid

Men-deploy konfigurasi Anda

Setelah meninjau detail konfigurasi, gunakan salah satu opsi berikut:

• Deploy langsung dari konsol: Gunakan opsi ini jika Anda tidak memiliki alur kerja deployment Terraform yang ada, dan menginginkan metode deployment yang sederhana. Anda hanya dapat men-deploy menggunakan metode ini satu kali.

• Download dan deploy file Terraform: Gunakan opsi ini jika Anda ingin mengotomatiskan pengelolaan resource menggunakan alur kerja deployment Terraform. Anda dapat mendownload dan men-deploy menggunakan metode ini beberapa kali.

Deploy menggunakan salah satu opsi berikut:

Langkah berikutnya

Pilih paket dukungan.

Dalam tugas ini, Anda memilih paket dukungan yang sesuai dengan kebutuhan bisnis Anda.

Yang melakukan tugas ini

Seseorang di grup gcp-organization-admins@YOUR_DOMAIN yang dibuat dalam tugas Pengguna dan grup.

Yang Anda lakukan dalam tugas ini

Memilih paket dukungan berdasarkan kebutuhan perusahaan Anda.

Alasan kami merekomendasikan tugas ini

Paket dukungan premium memberikan dukungan penting bagi bisnis untuk menyelesaikan masalah secara cepat dengan bantuan dari pakar di Google Cloud.

Memilih opsi dukungan

Anda otomatis mendapatkan Dukungan Dasar gratis, yang mencakup akses ke resource berikut:

• Dokumentasi
• Dukungan dan diskusi komunitas
• Dukungan untuk masalah penagihan

Sebaiknya pelanggan perusahaan mendaftar untuk mendapatkan Dukungan Premium, yang menawarkan dukungan teknis secara personal dengan engineer dukungan Google. Untuk membandingkan paket dukungan, lihat Google Cloud customer care.

Sebelum memulai

Selesaikan tugas-tugas berikut:

• Buat pengguna administrator super dan organisasi Anda di tugas Organisasi.
• Tambahkan pengguna dan buat grup di tugas Pengguna dan grup.
• Tetapkan peran IAM ke grup dalam tugas Akses administratif.

Mengaktifkan dukungan

Identifikasi dan pilih opsi dukungan.

1. Tinjau dan pilih paket dukungan. Untuk mengetahui informasi selengkapnya, lihat Google Cloud Customer Care.

2. Login ke konsol Google Cloud dengan pengguna dari grup gcp-organization-admins@<your-domain>.com yang Anda buat di tugas Pengguna dan grup.

3. Buka Google Cloud Penyiapan: Dukungan.

   Buka Dukungan

4. Tinjau detail tugas dan klik Lihat penawaran dukungan untuk memilih opsi dukungan.

5. Setelah menyiapkan opsi dukungan, kembali ke halaman Google Cloud Penyiapan: Dukungan, lalu klik Tandai tugas sebagai selesai.

Langkah berikutnya

Setelah menyelesaikan Google Cloud Penyiapan, Anda siap untuk memperluas penyiapan awal, men-deploy solusi bawaan, dan memigrasikan alur kerja yang ada. Untuk mengetahui informasi selengkapnya, lihat Memperluas penyiapan awal dan mulai membangun.