Przyznawanie dostępu do projektu za pomocą uprawnień

1. Zanim zaczniesz

Z tego modułu dowiesz się, jak skonfigurować klienta OAuth i jak za pomocą konsoli Google Cloud przyznawać podmiotom zabezpieczeń role Identity and Access Management (IAM) w projekcie.

Wymagania wstępne

  • Umiejętność poruszania się po konsoli Cloud.

Czego się nauczysz

  • Jak skonfigurować aplikację jako klienta OAuth.
  • Jak ograniczać dostęp do aplikacji przy użyciu usługi Identity and Access Management (IAM).

Czego potrzebujesz

2. Tworzenie projektu Google Cloud i konfigurowanie konta rozliczeniowego

  1. Zaloguj się w Cloud Console.
  1. Otwórz stronę selektora projektów.
  2. Kliknij Utwórz projekt.
  3. Nazwij projekt, a potem zanotuj wygenerowany identyfikator projektu.
  4. W razie potrzeby zmień inne pola.
  1. Kliknij Utwórz.
  2. Jeśli jeszcze tego nie zrobisz, włącz płatności w konsoli Google Cloud, aby korzystać z zasobów Google Cloud.

Ten przewodnik nie powinien kosztować wiele, ale jeśli chcesz uniknąć opłat po jego ukończeniu, wykonaj instrukcje z sekcji Czyszczenie, aby zamknąć zasoby. Pamiętaj, że nowi użytkownicy Google Cloud mogą skorzystać z bezpłatnego okresu próbnego, w którym mają do dyspozycji środki w wysokości 300 USD.

3. Przyznawanie dostępu za pomocą uprawnień

IAM umożliwia przyznawanie użytkownikom dostępu do projektu i zasobów na podstawie ról. W tej sekcji użyjesz uprawnień, aby przyznać użytkownikowi dostęp do kilku ról w projekcie.

Włączanie interfejsów IAM API i Resource Manager API

  1. W menu nawigacyjnym w Cloud Console kliknij Interfejsy API i usługi.

Menu nawigacyjne w konsoli Cloud z wybraną opcją Interfejsy API i usługi.

  1. Kliknij WŁĄCZ INTERFEJSY API I USŁUGI.

opcja WŁĄCZ INTERFEJSY API I USŁUGI;

  1. Wyszukaj interfejs IAM API i włącz go.
  2. Wyszukaj Resource Manager API i włącz tę funkcję.

Przyznawanie roli za pomocą uprawnień

  1. Otwórz stronę Uprawnienia.

Nazwa projektu pojawi się w selektorze projektów. Selektor projektów informuje, w którym projekcie się znajdujesz.

Strona uprawnień z selektorem nazwy projektu.

Jeśli nie widzisz nazwy projektu, wybierz ją w selektorze projektów.

  1. Kliknij Dodaj.
  2. Wpisz adres e-mail podmiotu zabezpieczeń.
  3. W menu Wybierz rolę kliknij Rejestrowanie > Przeglądający logi > Zapisz.

Strona Uprawnienia

  1. Sprawdź, czy na stronie Uprawnienia wymieniony jest podmiot zabezpieczeń i odpowiednia rola.

To wszystko – rola zarządzania tożsamościami i dostępem została przypisana do podmiotu zabezpieczeń.

Obserwowanie efektów ról zarządzania tożsamościami i dostępem

W tej sekcji sprawdzisz, czy podmiot, któremu przyznano rolę, ma dostęp do oczekiwanych stron konsoli Cloud:

  1. Wyślij ten adres URL do podmiotu zabezpieczeń, któremu przypisano rolę:

https://console.cloud.google.com/logs?project=PROJECT_ID

  1. Sprawdź, czy podmiot zabezpieczeń może uzyskać dostęp do adresu URL i wyświetlić stronę.

Podmiot zabezpieczeń nie może uzyskać dostępu do strony Cloud Console, do której nie ma odpowiedniej roli. Zamiast tego zobaczą komunikat o błędzie podobny do tego:

You don't have permissions to view logs.

Przyznawanie innych ról temu samemu podmiotowi zabezpieczeń

  1. W Cloud Console otwórz stronę Uprawnienia.
  2. Znajdź podmiot zabezpieczeń, któremu chcesz przyznać inną rolę, a następnie kliknij Edytuj d489bd059474ae59.png.
  3. W panelu Edytowanie uprawnień kliknij Dodaj kolejną rolę.

Panel Edytowanie uprawnień z opcją Dodaj kolejną rolę.

  1. W menu Wybierz rolę kliknij Projekt > Wyświetlający > Zapisz.

Panel Edytuj uprawnienia z opcjami ról.

Podmiot zabezpieczeń ma teraz drugą rolę zarządzania tożsamościami i dostępem.

Cofanie ról przyznanych podmiotowi zabezpieczeń

  1. Znajdź podmiot zabezpieczeń, którego rolę chcesz cofnąć, a następnie kliknij d489bd059474ae59.pngEdytuj .
  2. W panelu Edytowanie uprawnień kliknij 17033682fbdcca9c.png obok obu ról, które zostały wcześniej przyznane podmiotowi zabezpieczeń.
  3. Kliknij Zapisz.

Udało Ci się usunąć podmiot zabezpieczeń z obu ról. Jeśli ta osoba spróbuje wyświetlić którąkolwiek ze stron, do których wcześniej miała dostęp, zobaczy komunikat o błędzie.

4. Czyszczenie danych

Aby uniknąć obciążenia konta Google Cloud opłatami za zasoby użyte w tym laboratorium:

  1. W Cloud Console otwórz stronę Zarządzanie zasobami.
  2. Z listy projektów wybierz projekt do usunięcia, a potem kliknij Usuń.
  3. W oknie wpisz identyfikator projektu i kliknij Wyłącz, aby usunąć projekt.

5. Gratulacje

Gratulacje! Dowiedzieliśmy się, jak skonfigurować klienta OAuth i użyć konsoli Google Cloud do przyznawania podmiotom zabezpieczeń ról uprawnień w projekcie.