P11 - Latihan Mengimplementasikan Cloud IAM Roles

Pada latihan kali ini, kita akan mempelajari bagaimana cara memberikan role kepada member baru,
membuat custom roles, dan mengatur policy.

1. Pertama, untuk melihat daftar member yang terdapat pada project, buka halaman IAM
melalui Navigation menu-> IAM & Admin -> IAM.

2. Bisa kita lihat sudah ada beberapa service account dan akun Google milik kita sendiri
beserta role-nya. Kita juga bisa mengelompokkan member tersebut berdasarkan rolenya
dengan memilih tab Roles.
3. Jika menggunakan Cloud Shell, jalankan perint ah berikut pada terminal untuk melihat

daftar member beserta role-nya: gcloud projects get-iam-policy project_id, project

id bisa dilihat di dashboard GCP.
 3. Jalankan perintah berikut jika Anda ingin mengunduh policy ke dalam berkas json.
gcloud projects get-iam-policy project_id --format json > file_name.json

5. File unduh .json bisa dilihat di bagain titik tiga bertumpuk, kemudian pilih Download

8. Kita juga bisa menambahkan policy melalui GCP console dengan cara klik Add pada halaman
IAM.

Catatan: Cara ini hanya terbatas untuk menambahkan policy pada level project.
9. Klik GRANT ACCESS.
10. Masukkan email lain yang Anda miliki pada field New principals. Pilih App Engine Viewer
untuk field Role. Klik Save.

11. Hasilnya, email baru berhasil ditambahkan.

12. Tahukah Anda bahwa Cloud Member bisa memiliki role lebih dari satu? Ya. Jadi, mari kita
tambahkan satu role lagi kepada member yang baru saja kita tambahkan, klik ikon
 pensil (edit principal)
13. Klik Add Another Role, Tambahkan role “Storage Object Viewer” lalu klik Save.

14. Selanjutnya, mari kita buka Cloud Console dari akun yang baru saja kita tambahkan role. Anda
bisa langsung mengakses URL https://console.cloud.google.com/, login
 Object Viewer, maka kita harus pastikan bahwa member baru ini bisa mengakses maka kita
harus pastikan bahwa member baru ini bisa mengakses halaman App Engine. Niscaya Anda
akan bisa membukanya

16. Namun, apabila Anda membuka halaman Compute Engine, niscaya Anda takkan bisa

bahwa kita tidak memiliki akses ke halaman Cloud Storage browser. Ini disebabkan
karena akun tersebut hanya memiliki role sebagai Storage Object Viewer sehingga ia
tak bisa melihat daftar bucket pada Cloud Storage. Namun, kita tetap bisa melihat daftar
object yang ada di dalam bucket, yaitu dengan langsung mengarahkan URL ke halaman
 Untuk menghapus role principal akun lain Anda dapat melakukannya dengan membuka
cara buka tab IAM pada bagian IAM & Admin lalu klik tanda ceklis di sebelah kiri lalu klik
REMOVE ACCESS

19. Maka ketika kita mencoba laman App Engine pada user yang sebelumnya kita tidak dapat
mengakses lagi.

1. Jika ingin menambahkan principal dan role Cloud IAM pada Cloud Shell, Anda bisa
menambahkan perintah berikut pada Cloud Shell:

gcloud projects add-iam-policy-binding example-project-id-1 -

member='user:test-user@gmail.com' --role='roles/editor'

2. Nantinya akan muncul list pada Cloud Shell dan user yang ditambahkan akan muncul pada
list tersebut.
 Anda juga bisa melihat pada Cloud Console untuk melihat sudah ditambahkan atau belum.

3. Anda juga bisa memastikannya lewat Cloud Console pada user yang sudah ditambahkan.
Sebab pada contoh di atas kita menambahkannya dengan role Viewer, maka anda bisa
mengakses untuk melihat seluruh resources yang ada pada project di user yang telah anda
tambahkan.

4. Untuk menghapus role dan principal Cloud IAM pada Cloud Shell, Anda bisa
menambahkan perintah berikut:
gcloud projects remove-iam-policy-binding example-project-id-1 -
member='user:test-user@gmail.com' --role='roles/editor'

Maka ketika Anda menggunakan perintah tersebut akan muncul list Cloud IAM
principals dan roles pada Cloud Shell dan user yang telah dihapus akan hilang dari list
tersebut.
Akun yang ditambahkan akan hilangg