Hello Everyone.. Let's Learn With Me!!
Pada kali ini, kita akan mempelajari tentang IAM Policy. Pada materi sebelumnya, kita sudah menyinggung beberapa tentang IAM Policy.
IAM Policy adalah aturan yang menentukan siapa saja yang dapat mengakses resource (Storage, User, Network, etc) yang kita miliki, dan bagaimana caranya. Policy hanya untuk Groups, tidak berlaku untuk user. Tanpa Policy, user tidak bisa memanage resource.
Sebelum membuat Policy, ada beberapa hal yang perlu di ketahui, seperti syntax, command, permission, etc
A.Policy Syntax
Note :
subject : nama Groups yang di izinkan untuk mengakses
verb : tindakan apa yang bisa di lakukan Groups
Pada dasarnya ada 4 yang bisa kita gunakan dalam membuat Policy.
resource-type : resource yang diizinkan untuk diakses
Berikut yang ada di OCI
location : lokasi yang ingin di izinkan
conditions : kita dapat menspesifikasikan satu atau lebih suatu kodisi yang harus untuk mendapat access.
Ada 2 type yaitu :
- request : relevant to the request itself
- target : relevant to the resource(s) being acted upon in the request
B.Create Policy
Untuk lebih memahami konsep yang ada pada Policy OCI, kita akan praktikkan di sini.
Untuk praktik, Ada 2 user di sini. user ke1 : dianazuni > ini adalah user utama yang masuk dalam Groups Administrator. Otomatis, user ini memiliki akses penuh pada Tenancy.
user ke2 : Training user > ini adalah user tambahan yang sudah dibuat sebelumnya. user ini berada dalam TrainingGroup. Karena TrainingGroup ini masih baru dibuat, So, saya belum setting apapun disini.
Oke.. Let's get start it !! Sekarang kita login ke user utama “dianazuni”
Lalu kita pilih Policy untuk membuat Policy untuk GroupTraining
Di halaman ini kita bisa create Policy, sebelum itu kita pilih root compartment
Lalu kita mulai buat Policy nya
Dibagian Policy Builder, oracle sudah menyediakan template untuk create Policy. Jika teman-teman terbiasa dengan create command, kalian bisa klik customize (advance).
Seperti gambar di bawah ini, jika sudah klik create untuk membuat.
Pada kondisi diatas, TrainingGroup di izinkan untuk manage virtual-network-family di area tenancy kencana.
Coba kita buktikan dengan membuat VCN pada Traininguser1.
Yang pada sebelumnya terdapat warning seperti gambar di bawah,
Sekarang warning tersebut sudah tidak muncul
VCN sudah berhasil dibuat oleh Traininguser1 dikarenakan kita sudah memberikan akses untuk membuat VCN.
Jangan lupa untuk menambahkan block subnet pada VCN
Untuk settingan yang lain saya buat default dari Oracle, untuk lebihnya akan dipelajar di next materi.
Perhatikan kembali Policy yang telah kita buat sebelumnya, di sini kita hanya di izinkan untuk mengakses virtual-network-family berarti kita hanya bisa akses : VCN, subnet, route-tables, security-list, dhcp-options, and many more resource (link)
Lalu bagaimana dengan membuat instance ? Apakah kita tetap diizinkan dengan Traininguser1 ? Mari kita cek,
Ternyata, kita tidak di izinkan untuk membuat instance dengan menggunakan Traininguser1.
Agar kita bisa membuat instance, kita akan menambahkan rule Policy yang telah kita buat tadi
Sebelumnya kita login terlebih dahulu ke user utama “dianazuni”
Masuk ke halaman Policy, lalu klik bagian Edit Policy Statements.
Tambahkan Policy di sini
Lalu save Changes
Lalu kita login kembali sebagai Traininguser1 dan pilih menu compute instance
Pada tampilan ini, suda tidak ada warning lagi. Coba kita buat,
Untuk settingan pada VM masih kita buat secara by-default. Lalu klik create untuk membuat.
Dan sekarang kita sudah berhasil membuat instan dengan nama : Training-Instance.
So, that is all about IAM Policy in OCI. Any question?? Chat on the comments column. Thanks :)