Zugriff auf Ihr Projekt mit IAM gewähren

1. Hinweis

In diesem Codelab erfahren Sie, wie Sie einen OAuth-Client einrichten und wie Sie in der Google Cloud Console Hauptkonten für Ihr Projekt IAM-Rollen (Identity and Access Management) zuweisen.

Vorbereitung

  • Sie können in der Cloud Console navigieren.

Lerninhalte

  • So richten Sie Ihre App als OAuth-Client ein.
  • So schränken Sie den Zugriff auf Ihre App mit Identity and Access Management (IAM) ein.

Voraussetzungen

2. Google Cloud-Projekt erstellen und Rechnungskonto einrichten

  1. Melden Sie sich in der Cloud Console an.
  1. Rufen Sie die Seite Projektauswahl auf.
  2. Klicken Sie auf Projekt erstellen.
  3. Geben Sie Ihrem Projekt einen Namen und notieren Sie sich die generierte Projekt-ID.
  4. Bearbeiten Sie die anderen Felder nach Bedarf.
  1. Klicken Sie auf Erstellen.
  2. Wenn Sie es noch nicht getan haben, aktivieren Sie die Abrechnung in der Cloud Console, um Google Cloud-Ressourcen zu verwenden.

Dieses Codelab sollte nicht viel kosten, wenn überhaupt. Folgen Sie der Anleitung im Abschnitt Bereinigen, um Ressourcen zu beenden und Kosten zu vermeiden, die über dieses Codelab hinausgehen. Hinweis: Neuen Nutzern von Google Cloud steht eine kostenlose Testversion mit einem Guthaben von 300$ zur Verfügung.

3. Zugriff mit IAM gewähren

Mit IAM können Sie Nutzern rollenbasierten Zugriff auf Ihr Projekt und Ihre Ressourcen gewähren. In diesem Abschnitt verwenden Sie IAM, um einem Nutzer Zugriff auf einige Rollen für Ihr Projekt zu gewähren.

IAM- und Resource Manager-APIs aktivieren

  1. Klicken Sie im Navigationsmenü der Cloud Console auf APIs & Dienste.

Navigationsmenü in der Cloud Console mit der Option „APIs & Dienste“.

  1. Wählen Sie APIs und Dienste aktivieren aus.

Option „APIs und Dienste aktivieren“

  1. Suchen Sie nach der IAM API und aktivieren Sie sie.
  2. Suchen Sie nach Resource Manager API und aktivieren Sie die Funktion.

Rolle mit IAM zuweisen

  1. Rufen Sie die IAM-Seite auf.

Der Name Ihres Projekts wird in der Projektauswahl angezeigt. In der Projektauswahl sehen Sie, in welchem Projekt Sie sich befinden.

IAM-Seite mit der Projektnamenauswahl.

Wenn Sie den Namen Ihres Projekts nicht sehen, wählen Sie es über die Projektauswahl aus.

  1. Klicken Sie auf Hinzufügen.
  2. Geben Sie die E-Mail-Adresse eines Hauptkontos ein.
  3. Wählen Sie im Drop-down-Menü Rolle auswählen die Option Logging > Logbetrachter > Speichern aus.

IAM-Seite wird angezeigt

  1. Prüfen Sie, ob das Hauptkonto und die Rolle auf der Seite IAM aufgeführt sind.

Fertig – Sie haben einem Hauptkonto eine IAM-Rolle zugewiesen.

Auswirkungen von IAM-Rollen beobachten

In diesem Abschnitt prüfen Sie, ob das Hauptkonto, dem Sie eine Rolle zugewiesen haben, auf die erwarteten Cloud Console-Seiten zugreifen kann:

  1. Senden Sie diese URL an das Hauptkonto, dem Sie die Rolle zugewiesen haben:

https://console.cloud.google.com/logs?project=PROJECT_ID

  1. Prüfen Sie, ob das Hauptkonto die URL öffnen und ansehen kann.

Das Hauptkonto kann nicht auf eine Cloud Console-Seite zugreifen, für die ihm nicht die entsprechende Rolle zugewiesen wurde. Stattdessen erhalten sie eine Fehlermeldung wie diese:

You don't have permissions to view logs.

Demselben Hauptkonto eine oder mehrere Rollen zuweisen

  1. Rufen Sie in der Cloud Console die Seite IAM auf.
  2. Suchen Sie das Hauptkonto, dem Sie eine weitere Rolle zuweisen möchten, und klicken Sie dann auf Bearbeiten d489bd059474ae59.png.
  3. Klicken Sie im Bereich Berechtigungen bearbeiten auf Weitere Rolle hinzufügen.

Bereich „Berechtigungen bearbeiten“ mit der Option „Weitere Rolle hinzufügen“

  1. Klicken Sie im Drop-down-Menü Rolle auswählen auf Projekt > Betrachter > Speichern.

Bereich „Berechtigungen bearbeiten“ mit Rollenoptionen.

Das Hauptkonto hat jetzt eine zweite IAM-Rolle.

Einem Hauptkonto zugewiesene Rollen aufheben

  1. Suchen Sie das Hauptkonto, dessen Rolle Sie widerrufen möchten, und klicken Sie dann auf d489bd059474ae59.pngBearbeiten .
  2. Klicken Sie im Bereich Berechtigungen bearbeiten neben den beiden Rollen, die Sie dem Hauptkonto zuvor gewährt haben, auf 17033682fbdcca9c.png.
  3. Klicken Sie auf Speichern.

Sie haben beide Rollen für das Hauptkonto entfernt. Wenn diese Person versucht, eine der Seiten aufzurufen, auf die sie zuvor Zugriff hatte, wird eine Fehlermeldung angezeigt.

4. Bereinigen

So vermeiden Sie, dass Ihrem Google Cloud-Konto die in diesem Codelab verwendeten Ressourcen in Rechnung gestellt werden:

  1. Wechseln Sie in der Cloud Console zur Seite Ressourcen verwalten.
  2. Wählen Sie in der Projektliste das Projekt aus, das Sie löschen möchten, und klicken Sie dann auf Löschen.
  3. Geben Sie im Dialogfeld die Projekt-ID ein und klicken Sie auf Beenden, um das Projekt zu löschen.

5. Glückwunsch

Glückwunsch! Sie haben gelernt, wie Sie einen OAuth-Client einrichten und mit der Cloud Console Hauptkonten für Ihr Projekt Identity and Access Management-Rollen zuweisen.