הענקת גישה לפרויקט באמצעות IAM

1. לפני שמתחילים

בשיעור ה-Lab הזה תלמדו איך להגדיר לקוח OAuth ואיך להשתמש במסוף Google Cloud כדי להעניק לחשבונות משתמשים תפקידים ב-IAM בפרויקט.

דרישות מוקדמות

  • יכולת ניווט ב-Cloud Console.

מה תלמדו

  • איך להגדיר את האפליקציה כלקוח OAuth.
  • איך מגבילים את הגישה לאפליקציה באמצעות ניהול זהויות והרשאות גישה (IAM).

הדרישות

2. יצירת פרויקט ב-Google Cloud והגדרת חשבון לחיוב

  1. נכנסים ל-Cloud Console.
  1. עוברים לדף project- selector.
  2. לוחצים על יצירת פרויקט.
  3. נותנים שם לפרויקט ורושמים את מזהה הפרויקט שנוצר.
  4. עורכים את שאר השדות לפי הצורך.
  1. לוחצים על יצירה.
  2. אם עדיין לא עשיתם זאת, אתם צריכים להפעיל את החיוב במסוף Cloud כדי להשתמש במשאבי Google Cloud.

למרות שה-codelab הזה לא אמור לעלות הרבה, אם בכלל, כדאי לפעול לפי ההוראות שבקטע ניקוי כדי להשבית משאבים ולמנוע עלויות מעבר ל-codelab הזה. שימו לב שמשתמשים חדשים ב-Google Cloud זכאים לתקופת ניסיון בחינם בשווי 300$.

3. הענקת גישה באמצעות IAM

בעזרת IAM תוכלו להעניק למשתמשים גישה מבוססת-תפקידים לפרויקט ולמשאבים שלכם. בקטע הזה, משתמשים ב-IAM כדי להעניק למשתמש גישה לכמה תפקידים בפרויקט.

הפעלת ממשקי ה-API של IAM ו-Resource Manager

  1. בתפריט הניווט ב-Cloud Console, לוחצים על APIs & Services (ממשקי API ושירותים).

תפריט הניווט במסוף Cloud שבו מוצגת האפשרות APIs & Services (ממשקי API ושירותים).

  1. לוחצים על הפעלת ממשקי API ושירותים.

האפשרות ENABLE APIS AND SERVICES

  1. מחפשים את IAM API ומפעילים אותו.
  2. מחפשים את Resource Manager API ומפעילים אותו.

מתן תפקיד באמצעות IAM

  1. נכנסים לדף IAM.

שם הפרויקט מופיע בבורר הפרויקטים. בכלי לבחירת פרויקטים אפשר לראות באיזה פרויקט אתם נמצאים.

דף IAM שבו מוצג בורר שמות הפרויקטים.

אם שם הפרויקט לא מופיע, משתמשים בבורר הפרויקטים כדי לבחור אותו.

  1. לוחצים על הוספה.
  2. מזינים את כתובת האימייל של חשבון משתמש.
  3. בתפריט הנפתח Select a role, בוחרים באפשרות Logging > Logs Viewer > Save.

הצגת דף IAM

  1. מוודאים שחשבון המשתמש והתפקיד מופיעים בדף IAM.

זהו – הענקתם תפקיד בניהול הזהויות והרשאות הגישה לחשבון משתמש!

בדיקת ההשפעות של תפקידים בניהול זהויות והרשאות גישה

בקטע הזה תבדקו שלחשבון המשתמש שנתתם לו את התפקיד יש גישה לדפים במסוף Cloud:

  1. שולחים את כתובת ה-URL הזו לחשבון המשתמש שנתתם לו את התפקיד:

https://console.cloud.google.com/logs?project=PROJECT_ID

  1. מוודאים שלחשבון המשתמש יש גישה לכתובת ה-URL ושהדף נפתח.

למשתמש אין גישה לדף ב-Cloud Console אם לא הוקצה לו התפקיד המתאים. במקום זאת, הם רואים הודעת שגיאה כמו בדוגמה הזו:

You don't have permissions to view logs.

איך נותנים עוד תפקידים לאותו חשבון ראשי

  1. במסוף Cloud, עוברים לדף IAM.
  2. מוצאים את החשבון הראשי שרוצים לתת לו תפקיד נוסף ולוחצים על עריכה d489bd059474ae59.png.
  3. בחלונית Edit permissions לוחצים על Add another role.

חלונית עריכת ההרשאות, שבה מוצגת האפשרות 'הוספת תפקיד נוסף'.

  1. בתפריט הנפתח Select a role, לוחצים על Project > Viewer > Save.

חלונית עריכת ההרשאות, שבה מוצגות אפשרויות התפקיד.

זהו! לחשבון המשתמש יש עכשיו תפקיד נוסף ב-IAM.

ביטול התפקידים שניתנו לחשבון המשתמש

  1. מוצאים את חשבון המשתמש שרוצים לבטל את התפקיד שלו ולוחצים על d489bd059474ae59.pngעריכה .
  2. בחלונית Edit permissions, לוחצים על 17033682fbdcca9c.png ליד שני התפקידים שנתתם לחשבון המשתמש.
  3. לוחצים על שמירה.

הסרתם את שני התפקידים מחשבון המשתמש. אם האדם הזה ינסה לצפות באחד מהדפים שהייתה לו גישה אליהם בעבר, תופיע הודעת שגיאה.

4. הסרת המשאבים

כדי להימנע מחיובים בחשבון Google Cloud על המשאבים שבהם השתמשתם ב-codelab הזה:

  1. במסוף Cloud, נכנסים לדף Manage resources.
  2. ברשימת הפרויקטים, בוחרים את הפרויקט שרוצים למחוק ולוחצים על מחיקה.
  3. כדי למחוק את הפרויקט, כותבים את מזהה הפרויקט בתיבת הדו-שיח ולוחצים על Shut down.

5. מזל טוב

מעולה! למדתם איך להגדיר לקוח OAuth ואיך להשתמש במסוף Cloud כדי להעניק תפקידים של ניהול זהויות והרשאות גישה לחשבונות ראשיים בפרויקט.