Эта страница переведена с помощью Cloud Translation API.

Предоставьте доступ к вашему проекту с помощью IAM

1. Прежде чем начать

В этом практическом занятии показано, как настроить клиент OAuth и как использовать консоль Google Cloud для предоставления ролей управления идентификацией и доступом (IAM) субъектам для вашего проекта.

Предварительные требования

Умение ориентироваться в облачной консоли.

Что вы узнаете

Как настроить ваше приложение в качестве клиента OAuth.
Как ограничить доступ к вашему приложению с помощью управления идентификацией и доступом (IAM).

Что вам понадобится

Современный веб-браузер, например, Google Chrome.
Учетная запись Google, например, учетная запись Gmail или учетная запись Google Workspace .
Для регистрации на бесплатную пробную версию необходимо иметь доступ к учетной записи Cloud Billing или кредитной карте.

2. Создайте проект в Google Cloud и настройте учетную запись для выставления счетов.

Войдите в облачную консоль .

Перейдите на страницу выбора проекта .
Нажмите «Создать проект» .
Назовите свой проект, а затем запишите сгенерированный идентификатор проекта.
При необходимости отредактируйте остальные поля.

Нажмите «Создать» .
Если вы еще этого не сделали, включите оплату в консоли Cloud, чтобы использовать ресурсы Google Cloud.

Хотя выполнение этого практического задания не должно стоить дорого, следуйте инструкциям в разделе «Очистка ресурсов», чтобы отключить ресурсы и избежать дополнительных расходов после завершения задания. Обратите внимание, что новые пользователи Google Cloud имеют право на бесплатную пробную версию стоимостью 300 долларов США .

3. Предоставьте доступ с помощью IAM.

IAM позволяет предоставлять пользователям доступ к вашему проекту и ресурсам на основе ролей. В этом разделе вы используете IAM для предоставления пользователю доступа к нескольким ролям в вашем проекте.

Включите API IAM и Resource Manager.

В навигационном меню консоли Cloud Console нажмите «API и сервисы» .

В облачной консоли в навигационном меню отображается раздел «API и сервисы».

Выберите «Включить API и сервисы» .

Включить опцию API и сервисов

Найдите API IAM и включите его.
Найдите Resource Manager API и включите его.

Предоставьте роль в IAM.

Перейдите на страницу IAM .

Название вашего проекта отображается в селекторе проектов. Селектор проектов показывает, в каком проекте вы находитесь.

Страница IAM, отображающая селектор имени проекта.

Если вы не видите название своего проекта, воспользуйтесь селектором проектов, чтобы выбрать его.

Нажмите «Добавить» .
Введите адрес электронной почты директора.
В раскрывающемся меню «Выберите роль» выберите «Ведение журналов» > «Просмотр журналов» > «Сохранить» .

Страница IAM, отображающая

Убедитесь, что на странице IAM указаны субъект и роль.

Вот и все — вы предоставили роль управления идентификацией и доступом субъекту!

Проанализируйте влияние ролей в управлении идентификацией и доступом.

В этом разделе вы проверяете, имеет ли субъект, которому вы предоставили роль, доступ к ожидаемым страницам Cloud Console:

Отправьте эту ссылку руководителю, которому вы предоставили роль:

https://console.cloud.google.com/logs?project= PROJECT_ID

Убедитесь, что у пользователя есть доступ к URL-адресу и он может его просмотреть.

Управляющий пользователь не может получить доступ к странице Cloud Console, поскольку ему не предоставлена соответствующая роль. Вместо этого он видит сообщение об ошибке, подобное этому примеру:

You don't have permissions to view logs.

Предоставьте этому же руководителю другие должности.

В консоли Cloud перейдите на страницу IAM .
Найдите руководителя, которому вы хотите предоставить другую роль, и нажмите «Редактировать». .
В панели «Изменение разрешений» нажмите «Добавить еще одну роль» .

В панели редактирования разрешений отображается опция «Добавить еще одну роль».

В раскрывающемся меню «Выберите роль» нажмите «Проект» > «Просмотрщик» > «Сохранить» .

Панель редактирования разрешений, отображающая варианты ролей.

Теперь у директора есть еще одна должность, связанная с управлением идентификацией и доступом.

Отменить полномочия, предоставленные директору.

Найдите руководителя, чью должность вы хотите аннулировать, и затем нажмите кнопку. Редактировать .
В панели «Изменение разрешений» нажмите рядом с обеими ролями, которые вы ранее предоставили директору.
Нажмите « Сохранить ».

Вы удалили этого пользователя из обеих ролей. Если он попытается просмотреть какие-либо страницы, к которым ранее имел доступ, он увидит сообщение об ошибке.

4. Уборка

Чтобы избежать списания средств с вашего аккаунта Google Cloud за ресурсы, использованные в этом практическом задании:

Внимание: При удалении проекта:

Все данные в проекте будут удалены. Если вы использовали существующий проект для этого урока, вы также удалите всю остальную работу, выполненную в этом проекте.
Пользовательские идентификаторы проектов будут потеряны. При создании этого проекта вы могли создать пользовательский идентификатор проекта, который хотите использовать в будущем. Чтобы сохранить URL-адреса, использующие этот идентификатор проекта, например, URL-адрес appspot.com, удалите выбранные ресурсы внутри проекта, а не весь проект целиком.

Если вы планируете изучить несколько практических заданий или быстрых стартов, вы можете повторно использовать проекты, чтобы не превышать лимит квот по проектам.

В консоли Cloud перейдите на страницу «Управление ресурсами» .
В списке проектов выберите проект, который хотите удалить, и нажмите кнопку «Удалить» .
В диалоговом окне введите идентификатор проекта, а затем нажмите «Завершить» , чтобы удалить проект.

5. Поздравляем!

Поздравляем! Вы научились настраивать OAuth-клиент и использовать Cloud Console для предоставления ролей управления идентификацией и доступом субъектам вашего проекта.