Kontrol akses dengan IAM

Dokumen ini menjelaskan opsi kontrol akses untuk Pub/Sub Lite. Pub/Sub Lite menggunakan Identity and Access Management untuk kontrol akses.

Untuk memberi pengguna atau aplikasi akses ke resource Pub/Sub Lite, berikan setidaknya satu peran bawaan atau kustom kepada pengguna atau akun layanan yang digunakan aplikasi. Peran tersebut mencakup izin untuk melakukan tindakan tertentu pada resource Pub/Sub Lite.

Peran yang telah ditetapkan

Tabel berikut mencantumkan peran yang telah ditetapkan yang memberi Anda akses ke resource Pub/Sub Lite:

Peran Judul Deskripsi Izin
roles/pubsublite.admin Pub/Sub Lite Admin Akses penuh ke topik Lite dan langganan Lite. pubsublite.*
roles/pubsublite.editor Pub/Sub Lite Editor Mengubah topik Lite dan langganan Lite, memublikasikan pesan ke topik Lite, dan menerima pesan dari langganan Lite. pubsublite.*
roles/pubsublite.publisher Pub/Sub Lite Publisher Memublikasikan pesan ke topik Lite.
  • pubsublite.topics.getPartitions
  • pubsublite.topics.publish
  • pubsublite.locations.openKafkaStream
    		•
    roles/pubsublite.subscriber Pub/Sub Lite Subscriber Menerima pesan dari langganan Lite.
    • pubsublite.operations.get
    • pubsublite.subscriptions.getCursor
    • pubsublite.subscriptions.seek
    • pubsublite.subscriptions.setCursor
    • pubsublite.subscriptions.subscribe
    • pubsublite.topics.computeHeadCursor
    • pubsublite.topics.computeMessageStats
    • pubsublite.topics.computeTimeCursor
    • pubsublite.topics.getPartitions
    • pubsublite.topics.subscribe
    • pubsublite.locations.openKafkaStream
    roles/pubsublite.viewer Pub/Sub Lite Viewer Melihat topik Lite dan langganan Lite.
    • pubsublite.operations.get
    • pubsublite.operations.list
    • pubsublite.subscriptions.get
    • pubsublite.subscriptions.getCursor
    • pubsublite.subscriptions.list
    • pubsublite.topics.get
    • pubsublite.topics.getPartitions
    • pubsublite.topics.list
    • pubsublite.topics.listSubscriptions

    Peran khusus

    Peran khusus dapat mencakup izin apa pun yang Anda tentukan. Anda dapat membuat peran kustom yang menyertakan izin untuk melakukan operasi administratif tertentu, seperti memperbarui topik Lite atau menghapus langganan Lite. Untuk membuat peran khusus, lihat Membuat dan mengelola peran khusus.

    Tabel berikut mencantumkan contoh peran kustom:

    Deskripsi Izin
    Membuat dan mengelola pemesanan Lite.
    • pubsublite.reservations.create
    • pubsublite.reservations.update
    • pubsublite.reservations.get
    • pubsublite.reservations.list
    • pubsublite.reservations.delete
    Membuat dan mengelola topik Lite.
    • pubsublite.topics.create
    • pubsublite.topics.update
    • pubsublite.topics.get
    • pubsublite.topics.getPartitions
    • pubsublite.topics.list
    • pubsublite.topics.listSubscriptions
    • pubsublite.topics.delete
    Membuat dan mengelola langganan Lite.
    • pubsublite.subscriptions.create
    • pubsublite.topics.subscribe
    • pubsublite.subscriptions.update
    • pubsublite.subscriptions.get
    • pubsublite.subscriptions.list
    • pubsublite.subscriptions.delete
    Membuat topik Lite dan langganan Lite.
    • pubsublite.topics.create
    • pubsublite.subscriptions.create
    • pubsublite.topics.subscribe
    Mengubah topik Lite dan langganan Lite.
    • pubsublite.topics.update
    • pubsublite.subscriptions.update
    Menghapus topik Lite dan langganan Lite.
    • pubsublite.topics.delete
    • pubsublite.subscriptions.delete

    Memberikan peran

    Anda dapat memberikan peran untuk mengakses resource Pub/Sub Lite di level project. Misalnya, Anda dapat memberi akun layanan akses untuk melihat topik Lite apa pun dalam project, tetapi Anda tidak dapat memberi akun layanan akses untuk melihat satu topik Lite.

    Untuk memberikan peran pada project, Anda dapat menggunakan konsol Google Cloud atau Google Cloud CLI.

    Konsol

    Untuk memberikan peran kepada pengguna, akun layanan, atau anggota lain, ikuti langkah-langkah berikut:

    1. Di Konsol Google Cloud, buka halaman IAM.

    Buka IAM

    1. Klik Tambahkan.

    2. Masukkan alamat email pengguna, akun layanan, atau anggota lainnya.

    3. Pilih peran.

    4. Klik Save.

    gcloud

    Untuk memberikan peran kepada pengguna, akun layanan, atau anggota lain, jalankan perintah gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=ROLE_ID

    Ganti kode berikut:

    Anda juga bisa mendapatkan file JSON atau YAML dengan kebijakan IAM saat ini, menambahkan beberapa peran atau anggota ke file, lalu memperbarui kebijakan. Untuk membaca dan mengelola kebijakan, gunakan Google Cloud CLI, IAM API, atau IAM. Untuk mengetahui detailnya, lihat Mengontrol akses secara terprogram.

    Langkah selanjutnya