Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan Batas Akses Kredensial

Halaman ini menjelaskan Batas Akses Kredensial, yang dapat Anda gunakan untuk downscope, atau membatasi, izin Identity and Access Management (IAM) yang dapat digunakan kredensial yang berlaku singkat.

Anda dapat menggunakan Batas Akses Kredensial untuk membuat token akses OAuth 2.0 yang menampilkan akun layanan, tetapi memiliki lebih sedikit izin daripada akun layanan. Contohnya, jika salah satu pelanggan Anda perlu mengakses data Cloud Storage yang Anda kontrol, Anda dapat melakukan hal berikut:

Buat akun layanan yang dapat mengakses setiap bucket Cloud Storage yang Anda miliki.
Buat token akses OAuth 2.0 untuk akun layanan.
Terapkan Batas Akses Kredensial yang hanya mengizinkan akses ke bucket yang berisi data pelanggan Anda.

Cara kerja Batas Akses Kredensial

Untuk memperkecil cakupan izin, tentukan Batas Akses Kredensial yang menentukan resource mana yang dapat diakses oleh kredensial yang berlaku singkat, serta batas atas pada izin yang tersedia di setiap resource. Anda kemudian dapat membuat kredensial yang berlaku singkat, lalu menukarnya dengan kredensial baru yang mematuhi Batas Akses Kredensial.

Jika Anda perlu memberikan serangkaian izin yang berbeda kepada akun utama untuk setiap sesi, menggunakan Batas Akses Kredensial akan lebih efisien daripada membuat banyak akun layanan yang berbeda dan memberi setiap akun layanan serangkaian peran yang berbeda.

Komponen Batas Akses Kredensial

Batas Akses Kredensial adalah objek yang berisi daftar aturan batas akses. Setiap aturan berisi informasi berikut:

Resource tempat aturan diterapkan.
Batas atas izin yang tersedia pada resource tersebut.
Opsional: Kondisi yang membatasi izin lebih lanjut. Kondisi mencakup hal berikut:
- Ekspresi kondisi yang bernilai true atau false. Jika bernilai true, akses akan diizinkan; jika tidak, akses akan ditolak.
- Opsional: Judul yang mengidentifikasi kondisi.
- Opsional: Deskripsi yang berisi informasi selengkapnya tentang kondisi tersebut.

Jika Anda menerapkan Batas Akses Kredensial ke kredensial yang berlaku singkat, maka kredensial hanya dapat mengakses resource di Batas Akses Kredensial. Tidak ada izin yang tersedia di resource lain.

Batas Akses Kredensial dapat berisi hingga 10 aturan batas akses. Anda hanya dapat menerapkan satu Batas Akses Kredensial untuk setiap kredensial yang berlaku singkat.

Saat ditampilkan sebagai objek JSON, Batas Akses Kredensial berisi kolom berikut:

Kolom
`accessBoundary`	`object` Wrapper untuk Batas Akses Kredensial.
`accessBoundary.accessBoundaryRules[]`	`object` Daftar aturan batas akses untuk diterapkan ke kredensial yang berlaku singkat.
`accessBoundary.accessBoundaryRules[].availablePermissions[]`	`string` Daftar yang menentukan batas atas pada izin yang tersedia untuk resource. Setiap nilai adalah ID untuk peran bawaan atau peran khusus IAM, dengan awalan `inRole:`. Contoh: `inRole:roles/storage.objectViewer`. Hanya izin dalam peran ini yang akan tersedia. Catatan: Anda tidak dapat menentukan nama izin secara langsung. Sebagai gantinya, tentukan peran tempat izin muncul. Jika perlu, buat peran khusus yang hanya menyertakan izin yang Anda perlukan.
`accessBoundary.accessBoundaryRules[].availableResource`	`string` Nama lengkap resource bucket Cloud Storage tempat aturan diterapkan. Gunakan format `//storage.googleapis.com/projects/_/buckets/bucket-name`.
`accessBoundary.accessBoundaryRules[].availabilityCondition`	`object` Opsional. Kondisi yang membatasi ketersediaan izin untuk objek Cloud Storage tertentu. Gunakan kolom ini jika Anda ingin menyediakan izin untuk objek tertentu, bukan semua objek dalam bucket Cloud Storage.
`accessBoundary.accessBoundaryRules[].availabilityCondition.expression`	`string` Ekspresi kondisi yang menentukan objek Cloud Storage yang izinnya tersedia. Untuk mempelajari cara merujuk ke objek tertentu dalam ekspresi kondisi, lihat atribut `resource.name` dan atribut`api.getAttribute("storage.googleapis.com/objectListPrefix")`. Catatan: Jika salah satu aplikasi Anda mencantumkan objek Cloud Storage dan menggunakan parameter `prefix` untuk memfilter respons, Anda harus mengambil langkah tambahan untuk mencegah konflik antara ekspresi kondisi IAM dan filter Cloud Storage. Untuk mengetahui detailnya, lihat Membatasi izin saat mencantumkan objek di halaman ini.
`accessBoundary.accessBoundaryRules[].availabilityCondition.title`	`string` Opsional. String pendek yang mengidentifikasi tujuan kondisi.
`accessBoundary.accessBoundaryRules[].availabilityCondition.description`	`string` Opsional. Detail tentang tujuan kondisi.

Untuk contoh dalam format JSON, lihat Contoh Batas Akses Kredensial di halaman ini.

Contoh Batas Akses Kredensial

Bagian berikut menampilkan contoh Batas Akses Kredensial untuk kasus penggunaan umum. Anda menggunakan Batas Akses Kredensial saat menukar token akses OAuth 2.0 dengan token yang diperkecil cakupannya.

Membatasi izin untuk bucket

Contoh berikut menampilkan Batas Akses Kredensial sederhana. Hal ini berlaku untuk bucket Cloud Storage example-bucket, dan menetapkan batas atas ke izin yang disertakan dalam peran Storage Object Viewer (roles/storage.objectViewer):

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket"
      }
    ]
  }
}

Membatasi izin untuk beberapa bucket

Contoh berikut menunjukkan Batas Akses Kredensial yang menyertakan aturan untuk beberapa bucket:

Bucket Cloud Storage example-bucket-1: Untuk bucket ini, hanya izin dalam peran Storage Object Viewer (roles/storage.objectViewer) yang tersedia.
Bucket Cloud Storage example-bucket-2: Untuk bucket ini, hanya izin dalam peran Pembuat Storage Object (roles/storage.objectCreator) yang tersedia.

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-1"
      },
      {
        "availablePermissions": [
          "inRole:roles/storage.objectCreator"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-2"
      }
    ]
  }
}

Membatasi izin untuk objek tertentu

Anda juga dapat menggunakan IAM Conditions untuk menentukan objek Cloud Storage mana yang dapat diakses akun utama. Contohnya, Anda dapat menambahkan kondisi yang menyediakan izin untuk objek yang namanya diawali dengan customer-a:

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
        "availabilityCondition": {
          "expression" : "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a')"
        }
      }
    ]
  }
}

Membatasi izin saat mencantumkan objek

Saat Anda mencantumkan objek di bucket Cloud Storage, Anda memanggil metode pada resource bucket, bukan resource objek. Akibatnya, jika suatu kondisi dievaluasi untuk permintaan daftar, dan kondisi tersebut mengacu pada nama resource, maka nama resource akan mengidentifikasi bucket, bukan objek di dalam bucket. Contohnya, saat Anda mencantumkan objek dalam example-bucket, nama resource adalah projects/_/buckets/example-bucket.

Konvensi penamaan ini dapat menyebabkan perilaku yang tidak diharapkan saat Anda mencantumkan objek. Contohnya, Anda menginginkan Batas Akses Kredensial yang mengizinkan akses tampilan ke objek di example-bucket dengan awalan customer-a/invoices/. Anda dapat mencoba menggunakan kondisi berikut di Batas Akses Kredensial:

Tidak lengkap: Kondisi yang hanya memeriksa nama resource

resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')

Kondisi ini berfungsi untuk membaca objek, tetapi tidak untuk mencantumkan objek:

Saat akun utama mencoba membaca objek dalam example-bucket dengan awalan customer-a/invoices/, kondisi akan bernilai true.
Saat akun utama mencoba mencantumkan objek dengan awalan tersebut, kondisi akan bernilai false. Nilai resource.name adalah projects/_/buckets/example-bucket, yang tidak dimulai dengan projects/_/buckets/example-bucket/objects/customer-a/invoices/.

Untuk mencegah masalah ini, selain menggunakan resource.name.startsWith(), kondisi Anda dapat memeriksa atribut API bernama storage.googleapis.com/objectListPrefix. Atribut ini berisi nilai parameter prefix yang digunakan untuk memfilter daftar objek. Sebagai hasilnya, Anda dapat menulis kondisi yang merujuk pada nilai parameter prefix.

Contoh berikut menunjukkan cara menggunakan atribut API dalam sebuah kondisi. Hal ini mengizinkan pembacaan dan mencantumkan objek dalam example-bucket dengan awalan customer-a/invoices/:

Lengkap: Kondisi yang memeriksa nama resource dan awalan

resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')  ||
    api.getAttribute('storage.googleapis.com/objectListPrefix', '')
                     .startsWith('customer-a/invoices/')

Sekarang Anda dapat menggunakan kondisi ini di Batas Akses Kredensial:

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
        "availabilityCondition": {
          "expression":
            "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '').startsWith('customer-a/invoices/')"
        }
      }
    ]
  }
}

Langkah berikutnya

Pelajari cara membuat kredensial berumur pendek yang diturunkan cakupannya.
Pelajari tentang kontrol akses untuk Cloud Storage.
Lihat izin di setiap peran bawaan.
Pelajari tentang peran khusus.