ให้สิทธิ์เข้าถึงโปรเจ็กต์ด้วย IAM

1. ก่อนเริ่มต้น

Codelab นี้จะแสดงวิธีตั้งค่าไคลเอ็นต์ OAuth และวิธีใช้ Google Cloud Console เพื่อมอบบทบาทการจัดการข้อมูลประจำตัวและการเข้าถึง (IAM) ให้กับผู้ใช้หลักสำหรับโปรเจ็กต์

ข้อกำหนดเบื้องต้น

  • ความสามารถในการไปยังส่วนต่างๆ ของ Cloud Console

สิ่งที่คุณจะได้เรียนรู้

  • วิธีตั้งค่าแอปเป็นไคลเอ็นต์ OAuth
  • วิธีจำกัดการเข้าถึงแอปด้วย Identity and Access Management (IAM)

สิ่งที่คุณต้องมี

2. สร้างโปรเจ็กต์ Google Cloud และตั้งค่าบัญชีสำหรับการเรียกเก็บเงิน

  1. ลงชื่อเข้าใช้ Cloud Console
  1. ไปที่หน้าเครื่องมือเลือกโปรเจ็กต์
  2. คลิกสร้างโปรเจ็กต์
  3. ตั้งชื่อโปรเจ็กต์ แล้วจดรหัสโปรเจ็กต์ที่สร้างขึ้น
  4. แก้ไขช่องอื่นๆ ตามต้องการ
  1. คลิกสร้าง
  2. หากยังไม่ได้ดำเนินการ ให้เปิดใช้การเรียกเก็บเงินใน Cloud Console เพื่อใช้ทรัพยากร Google Cloud

แม้ว่า Codelab นี้ไม่น่าจะมีค่าใช้จ่ายมากนัก แต่หากมีค่าใช้จ่ายเกิดขึ้น โปรดทำตามวิธีการในส่วนล้างข้อมูลเพื่อปิดทรัพยากรและหลีกเลี่ยงค่าใช้จ่ายที่นอกเหนือจาก Codelab นี้ โปรดทราบว่าผู้ใช้ใหม่ของ Google Cloud มีสิทธิ์รับช่วงทดลองใช้ฟรีมูลค่า US$300

3. ให้สิทธิ์เข้าถึงด้วย IAM

IAM ช่วยให้คุณให้สิทธิ์เข้าถึงตามบทบาทแก่ผู้ใช้สำหรับโปรเจ็กต์และทรัพยากรได้ ในส่วนนี้ คุณจะใช้ IAM เพื่อให้สิทธิ์ผู้ใช้เข้าถึงบทบาท 2 บทบาทสำหรับโปรเจ็กต์

เปิดใช้ IAM และ Resource Manager API

  1. ในเมนูการนำทางใน Cloud Console ให้คลิก API และบริการ

เมนูการนำทางใน Cloud Console ที่แสดงตัวเลือก API และบริการ

  1. เลือกเปิดใช้ API และบริการ

ตัวเลือกเปิดใช้ API และบริการ

  1. ค้นหา IAM API แล้วเปิดใช้
  2. ค้นหา Resource Manager API แล้วเปิดใช้

มอบบทบาทด้วย IAM

  1. ไปที่หน้า IAM

ชื่อโปรเจ็กต์จะปรากฏในตัวเลือกโปรเจ็กต์ ตัวเลือกโปรเจ็กต์จะบอกให้คุณทราบว่าคุณอยู่ในโปรเจ็กต์ใด

หน้า IAM แสดงตัวเลือกชื่อโปรเจ็กต์

หากไม่เห็นชื่อโปรเจ็กต์ ให้ใช้ตัวเลือกโปรเจ็กต์เพื่อเลือก

  1. คลิกเพิ่ม
  2. ป้อนอีเมลของครูใหญ่
  3. จากเมนูแบบเลื่อนลงเลือกบทบาท ให้เลือก Logging > ผู้ดูบันทึก > บันทึก

หน้า IAM แสดง

  1. ตรวจสอบว่ามีการระบุหลักการและบทบาทในหน้า IAM

เพียงเท่านี้ คุณก็มอบบทบาท Identity and Access Management ให้กับผู้ใช้หลักแล้ว

สังเกตผลกระทบของบทบาท Identity and Access Management

ในส่วนนี้ คุณจะยืนยันว่าผู้ใช้ที่คุณมอบบทบาทให้สามารถเข้าถึงหน้า Cloud Console ที่คาดไว้ได้

  1. ส่ง URL นี้ไปยังผู้ใช้หลักที่คุณมอบบทบาทให้

https://console.cloud.google.com/logs?project=PROJECT_ID

  1. ตรวจสอบว่าผู้ใช้หลักเข้าถึงและดู URL ได้

โดยหลักการแล้ว ผู้ใช้จะเข้าถึงหน้า Cloud Console ที่ตนไม่ได้รับบทบาทที่เหมาะสมไม่ได้ แต่จะเห็นข้อความแสดงข้อผิดพลาดดังตัวอย่างต่อไปนี้

You don't have permissions to view logs.

มอบบทบาทอื่นๆ ให้กับผู้ใช้หลักรายเดียวกัน

  1. ไปที่หน้า IAM ใน Cloud Console
  2. ค้นหาหลักการที่คุณต้องการให้บทบาทอื่น แล้วคลิกแก้ไข d489bd059474ae59.png
  3. ในแผงแก้ไขสิทธิ์ ให้คลิกเพิ่มบทบาทอื่น

แผงแก้ไขสิทธิ์ซึ่งแสดงตัวเลือกเพิ่มบทบาทอื่น

  1. ในเมนูแบบเลื่อนลงเลือกบทบาท ให้คลิกโปรเจ็กต์ > ผู้ดู > บันทึก

แผงแก้ไขสิทธิ์ที่แสดงตัวเลือกบทบาท

ตอนนี้ Principal มีบทบาท Identity and Access Management ที่ 2 แล้ว

เพิกถอนบทบาทที่มอบให้กับผู้ใช้หลัก

  1. ค้นหาผู้ใช้หลักที่ต้องการเพิกถอนบทบาท แล้วคลิกd489bd059474ae59.pngแก้ไข
  2. ในแผงแก้ไขสิทธิ์ ให้คลิก 17033682fbdcca9c.png ข้างบทบาททั้ง 2 ที่คุณมอบให้แก่ผู้ใช้หลักก่อนหน้านี้
  3. คลิกบันทึก

คุณได้นำผู้ใช้หลักออกจากทั้ง 2 บทบาท หากบุคคลนี้พยายามดูหน้าเว็บที่เคยเข้าถึงได้ก่อนหน้านี้ ระบบจะแสดงข้อความแสดงข้อผิดพลาด

4. ล้างข้อมูล

โปรดดำเนินการดังนี้เพื่อเลี่ยงไม่ให้เกิดการเรียกเก็บเงินกับบัญชี Google Cloud สำหรับทรัพยากรที่ใช้ใน Codelab นี้

  1. ใน Cloud Console ให้ไปที่หน้าจัดการทรัพยากร
  2. ในรายการโปรเจ็กต์ ให้เลือกโปรเจ็กต์ที่ต้องการลบ แล้วคลิกลบ
  3. ในกล่องโต้ตอบ ให้พิมพ์รหัสโปรเจ็กต์ แล้วคลิกปิดเพื่อลบโปรเจ็กต์

5. ขอแสดงความยินดี

ยินดีด้วย คุณได้เรียนรู้วิธีตั้งค่าไคลเอ็นต์ OAuth และใช้ Cloud Console เพื่อมอบบทบาทการจัดการข้อมูลประจำตัวและการเข้าถึงให้กับผู้ใช้หลักสำหรับโปรเจ็กต์