GSP064

Ringkasan

Layanan Identity and Access Management (IAM) Google Cloud memungkinkan Anda membuat dan mengelola izin untuk resource Google Cloud. Cloud IAM menyatukan kontrol akses untuk layanan Google Cloud ke dalam sistem tunggal dan menyediakan serangkaian operasi yang konsisten.

Di lab ini, Anda akan login dengan 2 set kredensial berbeda untuk mengetahui cara kerja pemberian dan pencabutan izin dari peran Project Owner dan Viewer pada Google Cloud.

Yang akan Anda pelajari

• Menetapkan peran ke pengguna kedua
• Menghapus peran yang ditetapkan yang terkait dengan Cloud IAM

Prasyarat

Ini adalah lab tingkat pengantar. Sedikit atau tidak ada pengetahuan sebelumnya tentang Cloud IAM adalah hal yang wajar. Pengalaman dengan Cloud Storage sangat membantu untuk menyelesaikan tugas-tugas dalam lab ini, tetapi hal tersebut tidak diwajibkan. Pastikan Anda memiliki file dalam format .txt atau .html. Jika Anda mencari praktik tingkat lanjut dengan Cloud IAM, pastikan untuk membuka lab Google Cloud Skills Boost berikut, Peran Kustom IAM.

Setelah Anda siap, scroll ke bawah dan ikuti langkah-langkah untuk menyiapkan lingkungan lab Anda.

Menyiapkan untuk dua pengguna

Seperti disebutkan sebelumnya, lab ini menyediakan dua set kredensial untuk mengilustrasikan kebijakan IAM dan izin apa yang tersedia untuk peran tertentu.

Pada panel Lab Connection di sisi kiri lab Anda, terdapat daftar kredensial yang tampak seperti berikut:

Perhatikan bahwa ada dua nama pengguna: Username 1 dan Username 2. Nama pengguna tersebut mewakili identitas di Cloud IAM, masing-masing dialokasikan izin akses yang berbeda. "Peran" ini menetapkan batasan pada hal yang dapat dan tidak dapat Anda lakukan dengan resource Google Cloud dalam project yang telah Anda alokasikan.

Login ke Konsol Cloud sebagai pengguna pertama

1. Klik tombol Open Google Console. Ini akan membuka tab browser baru. Jika Anda diminta untuk memilih akun melalui opsi Choose an account, klik Use another account.
2. Halaman login Google Cloud akan terbuka. Setelah halaman login terbuka, salin dan tempel kredensial Username 1 yang mirip dengan googlexxxxxx_student@qwiklabs.net ke kolom "Email or phone", lalu klik Next.
3. Salin sandi dari panel Lab Connection, lalu tempel ke kolom Password pada proses Login dengan Google.
4. Klik Next, lalu klik Accept untuk menyetujui persyaratan layanan. Konsol Cloud akan terbuka. Setujui persyaratan layanan, lalu klik Agree and Continue.

Login ke Konsol Cloud sebagai pengguna kedua

1. Klik tombol Open Google Console lagi. Tab browser baru akan terbuka. Jika Anda diminta untuk memilih akun melalui opsi Choose an account, klik Use another account.
2. Halaman login Google Cloud akan terbuka. Salin dan tempel kredensial Username 2 yang mirip dengan googlexxxxxx_student@qwiklabs.net ke kolom Email or phone, lalu klik Next.
3. Salin sandi dari panel Lab Connection, lalu tempel ke kolom Password pada proses Login dengan Google.
4. Klik Next, lalu klik Accept untuk menyetujui persyaratan layanan. Konsol Cloud akan terbuka. Setujui persyaratan layanan, lalu klik Agree and Continue.

Sekarang ada dua tab Konsol Cloud yang terbuka di browser Anda, yang satu login dengan Username 1 dan tab lainnya login dengan Username 2.

Melihat atau mereset pengguna di tab browser

Kadang-kadang, pengguna ditimpa di tab browser atau Anda mungkin bingung tentang pengguna mana yang login ke tab browser tertentu.

Untuk melihat pengguna mana yang login ke tab browser, arahkan kursor ke Avatar Anda untuk melihat nama pengguna di tab browser tersebut.

Untuk mereset pengguna yang login ke tab browser:

1. Klik Avatar Anda, lalu klik Sign out untuk logout.
2. Pada panel Lab Connection, klik Open Google Console dan login kembali menggunakan Nama Pengguna dan Sandi yang sesuai.

Peran level project dan konsol IAM

1. Kembali ke halaman Konsol Cloud untuk Username 1.
2. Pilih Navigation menu > IAM & Admin > IAM. Anda sekarang berada di konsol "IAM & Admin".
3. Klik tombol +GRANT ACCESS di bagian atas halaman.
4. Scroll ke bawah ke bagian Basic dan arahkan kursor ke bagian tersebut.

Terdapat empat peran:

• Browser
• Editor
• Owner
• Viewer

Ini adalah peran dasar di Google Cloud. Peran dasar menetapkan izin level project dan, kecuali jika ditentukan lain, mengontrol akses dan pengelolaan untuk semua layanan Google Cloud

Tabel berikut mengambil definisi dari artikel Google Cloud IAM, Peran Dasar, yang memberikan rangkuman singkat tentang izin peran browser, viewer, editor, dan owner:

Nama Peran	Izin
roles/viewer	Izin untuk tindakan hanya-baca yang tidak memengaruhi status, seperti melihat (tetapi tidak memodifikasi) resource atau data yang sudah ada.
roles/editor	Semua izin viewer, plus izin untuk tindakan yang memodifikasi status, seperti mengubah resource yang sudah ada.
roles/owner	Semua izin editor dan izin untuk tindakan berikut: Mengelola peran dan izin untuk sebuah project dan semua resource di dalamnya. Menyiapkan penagihan untuk sebuah project.
roles/browser	Akses baca untuk menelusuri hierarki dalam suatu project, termasuk folder, organisasi, dan kebijakan Cloud IAM. Peran ini tidak termasuk izin untuk melihat resource dalam project.

Karena Anda dapat mengelola peran dan izin untuk project ini, Username 1 memiliki izin Project Owner.

4. Klik CANCEL untuk keluar dari panel "Add principal".

Menjelajahi peran editor

Sekarang pindah ke konsol Username 2.

1. Buka konsol IAM & Admin, pilih Navigation menu > IAM & Admin > IAM.

2. Telusuri melalui tabel untuk menemukan Username 1 dan Username 2 serta memeriksa peran yang diberikan. Peran Username 1 dan Username 2 tercantum sejajar di sebelah kanan setiap pengguna.

Anda akan melihat:

• Username 2 memiliki peran "Viewer" yang diberikan kepadanya.
• Tombol +GRANT ACCESS di bagian atas berwana abu-abu. Jika Anda mengkliknya, akan muncul pesan "You need permissions for this action. Required permission(s): resource manager.projects.setIamPolicy".

Ini hanyalah satu contoh cara peran IAM memengaruhi apa yang dapat dan tidak dapat Anda lakukan di Google Cloud.

3. Pindah kembali ke konsol Username 1 untuk langkah selanjutnya.

Menyiapkan resource untuk pengujian akses

Pastikan Anda berada di Konsol Cloud untuk Username 1.

Membuat bucket

1. Buat bucket Cloud Storage dengan nama unik. Dari Konsol Cloud, pilih Navigation menu > Cloud Storage > Buckets.

2. Klik +CREATE.

Catatan: Jika Anda mendapatkan error izin untuk pembuatan bucket, logout lalu login kembali dengan kredensial Username 1.

3. Perbarui kolom berikut, dan biarkan semua kolom lain dengan nilai default-nya:

Properti	Nilai
Name:	nama unik secara global (buatlah sendiri), lalu klik CONTINUE.
Location Type:	Multi-Region

Catat nama bucket. Anda akan menggunakan nama tersebut di langkah selanjutnya.

4. Klik CREATE.

Catatan: Jika Anda mendapatkan error izin untuk pembuatan bucket, logout lalu login kembali dengan kredensial Username 1.

Mengupload file sampel

1. Pada halaman Bucket Details, klik UPLOAD FILES.

2. Jelajahi komputer Anda untuk menemukan file yang akan digunakan. File teks atau html apa pun dapat digunakan.

3. Klik pada tiga titik di akhir baris yang berisi file dan klik Rename.

4. Ganti nama file tersebut menjadi ‘sample.txt'.

5. Klik RENAME.

Klik Check my progress untuk memverifikasi tujuan.

Membuat bucket dan mengupload file sampel

Memverifikasi akses Project Viewer

1. Pindah ke konsol Username 2.

2. Dari Konsol, pilih Navigation menu > Cloud Storage > Buckets. Verifikasi bahwa pengguna ini dapat melihat bucket.

Username 2 memiliki peran "Viewer" yang ditentukan dan memungkinkannya untuk melakukan tindakan hanya baca yang tidak memengaruhi status. Contoh ini mengilustrasikan fitur ini. Pengguna dapat melihat bucket dan file Cloud Storage yang dihosting di project Google Cloud yang aksesnya telah mereka miliki.

Menghapus akses project

Pindah ke konsol Username 1.

Menghapus peran Project Viewer untuk Username 2

1. Pilih Navigation menu > IAM & Admin > IAM. Lalu klik ikon pensil yang sejajar dan di sebelah kanan Username 2.

Catatan: Anda mungkin harus memperbesar layar untuk melihat ikon pensil.

2. Hapus akses Project Viewer untuk Username 2 dengan mengklik ikon tempat sampah di sebelah nama peran. Lalu klik SAVE.

Perhatikan bahwa pengguna telah dihapus dari daftar Anggota. Kini pengguna tersebut tidak lagi memiliki akses.

Catatan: Diperlukan waktu hingga 80 detik agar perubahan tersebut diterapkan. Baca selengkapnya tentang Google Cloud IAM di Dokumentasi IAM dan Resource Google Cloud, Pertanyaan Umum.

Memastikan Username 2 tidak memiliki akses

1. Pindah ke Konsol Cloud untuk Username 2. Pastikan bahwa Anda masih login dengan kredensial Username 2 dan belum logout dari project setelah izin dicabut. Jika Anda telah logout, login kembali dengan kredensial yang sesuai.

2. Buka kembali Cloud Storage dengan memilih Navigation menu > Cloud Storage > Buckets.

Anda akan melihat error izin.

Catatan: Seperti disebutkan sebelumnya, perlu waktu hingga 80 detik agar izin dapat dicabut. Jika Anda belum menerima error izin, tunggu 2 menit lalu coba muat ulang konsol.

Klik Check my progress untuk memverifikasi tujuan.

Menghapus akses project

Menambahkan izin Storage

1. Salin nama Username 2 dari panel Lab Connection.

2. Pindah ke konsol Username 1. Pastikan Anda masih login dengan kredensial Username 1. Jika Anda telah logout, login kembali dengan kredensial yang sesuai.

3. Di Konsol, pilih Navigation menu > IAM & Admin > IAM.

4. Klik tombol +GRANT ACCESS dan tempel nama Username 2 ke kolom New principals.

5. Pada kolom Select a role, pilihCloud Storage > Storage Object Viewer dari menu drop-down.

6. Klik SAVE.

Memverifikasi akses

1. Pindah ke konsol Username 2. Anda akan tetap berada di halaman Storage.

Username 2 tidak memiliki peran Project Viewer sehingga pengguna tidak dapat melihat project atau resource-nya di Konsol. Namun, pengguna ini memiliki akses spesifik ke Cloud Storage, peran Storage Object Viewer. Lihat sekarang.

2. Klik Activate Cloud Shell untuk membuka command line Cloud Shell. Jika diminta, klik Continue.

3. Buka sesi Cloud Shell dan masukkan perintah berikut, ganti [YOUR_BUCKET_NAME] dengan nama bucket yang Anda buat sebelumnya:

gsutil ls gs://[YOUR_BUCKET_NAME]

Anda akan menerima output seperti berikut:

gs://[YOUR_BUCKET_NAME]/sample.txt Catatan: Jika Anda melihat AccessDeniedException, tunggu sebentar lalu jalankan ulang perintah sebelumnya.

4. Seperti yang terlihat, Anda memberi Username 2 akses lihat ke bucket Cloud Storage.

Klik Check my progress untuk memverifikasi tujuan.

Menambahkan izin Storage

Selamat!

Di lab ini, Anda telah mencoba memberikan peran Cloud IAM kepada pengguna dan mencabutnya dari mereka.

Langkah berikutnya/Pelajari lebih lanjut

Lab ini juga merupakan bagian dari rangkaian lab yang disebut Qwik Start. Lab ini dirancang agar Anda dapat mencoba berbagai fitur yang tersedia dengan Google Cloud. Telusuri "Qwik Starts" di katalog Google Cloud Skills Boost untuk menemukan lab berikutnya yang ingin Anda ikuti.

Sertifikasi dan pelatihan Google Cloud

...membantu Anda mengoptimalkan teknologi Google Cloud. Kelas kami mencakup keterampilan teknis dan praktik terbaik untuk membantu Anda memahami dengan cepat dan melanjutkan proses pembelajaran. Kami menawarkan pelatihan tingkat dasar hingga lanjutan dengan opsi on demand, live, dan virtual untuk menyesuaikan dengan jadwal Anda yang sibuk. Sertifikasi membantu Anda memvalidasi dan membuktikan keterampilan serta keahlian Anda dalam teknologi Google Cloud.

Manual Terakhir Diperbarui pada 26 Januari 2024

Lab Terakhir Diuji pada 19 September 2023

Hak cipta 2024 Google LLC Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lain mungkin adalah merek dagang masing-masing perusahaan yang bersangkutan.