הענקת גישה לפרויקט באמצעות IAM

1. לפני שמתחילים

ב-Codelab הזה נראה לכם איך להגדיר לקוח OAuth ואיך להשתמש במסוף Google Cloud כדי להעניק לחשבונות משתמשים תפקידים בניהול הזהויות והרשאות הגישה (IAM) בפרויקט.

דרישות מוקדמות

  • יכולת ניווט ב-Cloud Console.

מה תלמדו

  • איך להגדיר את האפליקציה כלקוח OAuth.
  • איך מגבילים את הגישה לאפליקציה באמצעות ניהול זהויות והרשאות גישה (IAM).

הדרישות

2. יצירת פרויקט בענן ב-Google Cloud והגדרת חשבון לחיוב

  1. נכנסים ל-Cloud Console.
  1. עוברים לדף project- selector.
  2. לוחצים על יצירת פרויקט.
  3. נותנים שם לפרויקט ורושמים את מזהה הפרויקט שנוצר.
  4. עורכים את שאר השדות לפי הצורך.
  1. לוחצים על יצירה.
  2. אם עדיין לא עשיתם זאת, אתם צריכים להפעיל את החיוב במסוף Cloud כדי להשתמש במשאבי Google Cloud.

למרות שה-codelab הזה לא אמור לעלות הרבה, אם בכלל, כדאי לפעול לפי ההוראות שבקטע ניקוי כדי להשבית את המשאבים ולמנוע עלויות מעבר ל-codelab הזה. שימו לב: משתמשים חדשים ב-Google Cloud זכאים לתקופת ניסיון בחינם בשווי 300$.

3. הענקת גישה באמצעות IAM

בעזרת IAM תוכלו להעניק למשתמשים גישה מבוססת-תפקידים לפרויקט ולמשאבים שלכם. בקטע הזה, משתמשים ב-IAM כדי להעניק למשתמש גישה לכמה תפקידים בפרויקט.

הפעלת ממשקי ה-API של IAM ושל מנהל המשאבים

  1. בתפריט הניווט ב-Cloud Console, לוחצים על APIs & Services (ממשקי API ושירותים).

תפריט הניווט במסוף Cloud שבו מוצגת האפשרות APIs & Services (ממשקי API ושירותים).

  1. לוחצים על הפעלת ממשקי API ושירותים.

האפשרות ENABLE APIS AND SERVICES

  1. מחפשים את IAM API ומפעילים אותו.
  2. מחפשים את Resource Manager API ומפעילים אותו.

מתן תפקיד באמצעות IAM

  1. נכנסים לדף IAM.

שם הפרויקט מופיע בבורר הפרויקטים. בבורר הפרויקטים אפשר לראות באיזה פרויקט אתם נמצאים.

דף IAM שבו מוצג בורר שמות הפרויקטים.

אם שם הפרויקט לא מופיע, משתמשים בבורר הפרויקטים כדי לבחור אותו.

  1. לוחצים על הוספה.
  2. מזינים את כתובת האימייל של חשבון משתמש.
  3. בתפריט הנפתח Select a role, בוחרים באפשרות Logging > Logs Viewer > Save.

הצגת דף IAM

  1. מוודאים שחשבון המשתמש והתפקיד מופיעים בדף IAM.

זהו – נתתם לחשבון משתמש תפקיד בניהול הזהויות והרשאות הגישה (IAM).

בדיקת ההשפעות של תפקידים בניהול זהויות והרשאות גישה

בקטע הזה תבדקו שלחשבון המשתמש שנתתם לו את התפקיד יש גישה לדפים במסוף Cloud:

  1. שולחים את כתובת ה-URL הזו לחשבון המשתמש שנתתם לו את התפקיד:

https://console.cloud.google.com/logs?project=PROJECT_ID

  1. מוודאים שלחשבון המשתמש יש גישה לכתובת ה-URL ושהדף נפתח.

למשתמש הראשי אין גישה לדף ב-Cloud Console שלא הוקצה לו בו תפקיד מתאים. במקום זאת, הם רואים הודעת שגיאה כמו בדוגמה הזו:

You don't have permissions to view logs.

הקצאת תפקידים אחרים לאותה ישות מורשית

  1. במסוף Cloud, עוברים לדף IAM.
  2. מוצאים את הישות המורשית שרוצים לתת לה תפקיד נוסף ולוחצים על עריכה d489bd059474ae59.png.
  3. בחלונית Edit permissions לוחצים על Add another role.

חלונית עריכת ההרשאות, שבה מוצגת האפשרות 'הוספת תפקיד נוסף'.

  1. בתפריט הנפתח Select a role, לוחצים על Project > Viewer > Save.

חלונית עריכת ההרשאות, שבה מוצגות אפשרויות התפקיד.

זהו! לחשבון המשתמש יש עכשיו תפקיד נוסף ב-IAM.

ביטול התפקידים שניתנו לחשבון המשתמש

  1. מוצאים את חשבון המשתמש שרוצים לבטל את התפקיד שלו ולוחצים על d489bd059474ae59.pngעריכה .
  2. בחלונית Edit permissions, לוחצים על 17033682fbdcca9c.png ליד שני התפקידים שנתתם לחשבון המשתמש.
  3. לוחצים על שמירה.

הסרתם את שני התפקידים מחשבון המשתמש. אם האדם הזה ינסה לצפות באחד מהדפים שהייתה לו גישה אליהם בעבר, תופיע הודעת שגיאה.

4. הסרת המשאבים

כדי להימנע מחיובים בחשבון Google Cloud על המשאבים שבהם השתמשתם ב-codelab הזה:

  1. במסוף Cloud, נכנסים לדף Manage resources.
  2. ברשימת הפרויקטים, בוחרים את הפרויקט שרוצים למחוק ולוחצים על מחיקה.
  3. כדי למחוק את הפרויקט, כותבים את מזהה הפרויקט בתיבת הדו-שיח ולוחצים על Shut down.

5. מזל טוב

מעולה! למדתם איך להגדיר לקוח OAuth ואיך להשתמש במסוף Cloud כדי להעניק תפקידים של ניהול זהויות והרשאות גישה לחשבונות ראשיים בפרויקט.