Cấp quyền truy cập vào dự án bằng giải pháp quản lý danh tính và quyền truy cập (IAM)

1. Trước khi bắt đầu

Lớp học lập trình này hướng dẫn bạn cách thiết lập một ứng dụng OAuth và cách sử dụng Google Cloud Console để cấp vai trò Quản lý danh tính và quyền truy cập (IAM) cho các thực thể chính trong dự án của bạn.

Điều kiện tiên quyết

Có thể điều hướng trong Cloud Console.

Kiến thức bạn sẽ học được

Cách thiết lập ứng dụng của bạn làm ứng dụng OAuth.
Cách hạn chế quyền truy cập vào ứng dụng bằng tính năng Quản lý danh tính và quyền truy cập (IAM).

Bạn cần có

Một trình duyệt web hiện đại, chẳng hạn như Google Chrome.
Tài khoản Google, chẳng hạn như tài khoản Gmail hoặc tài khoản Google Workspace.
Có quyền truy cập vào Tài khoản thanh toán trên đám mây hoặc thẻ tín dụng để đăng ký dùng thử miễn phí.

2. Tạo một dự án trên Google Cloud và thiết lập tài khoản thanh toán

Đăng nhập vào Cloud Console.

Chuyển đến trang project-selector.
Nhấp vào Tạo dự án.
Đặt tên cho dự án của bạn rồi ghi lại mã dự án đã tạo.
Chỉnh sửa các trường khác nếu cần.

Nhấp vào Tạo.
Nếu chưa, hãy bật tính năng thanh toán trong Cloud Console để sử dụng các tài nguyên của Google Cloud.

Mặc dù lớp học lập trình này không tốn nhiều chi phí (nếu có), nhưng bạn nên làm theo hướng dẫn trong phần Dọn dẹp để tắt các tài nguyên và tránh phát sinh chi phí ngoài lớp học lập trình này. Xin lưu ý rằng người dùng mới của Google Cloud đủ điều kiện dùng thử miễn phí trị giá 300 USD.

3. Cấp quyền truy cập bằng IAM

IAM cho phép bạn cấp quyền truy cập dựa trên vai trò cho người dùng đối với dự án và tài nguyên của bạn. Trong phần này, bạn sẽ sử dụng IAM để cấp cho người dùng quyền truy cập vào một số vai trò cho dự án của bạn.

Bật API IAM và Resource Manager

Trong trình đơn điều hướng của Cloud Console, hãy nhấp vào API và dịch vụ.

Trình đơn điều hướng trong Cloud Console cho thấy lựa chọn API và dịch vụ.

Chọn BẬT API VÀ DỊCH VỤ.

Lựa chọn BẬT API VÀ DỊCH VỤ

Tìm API IAM rồi bật API đó.
Tìm Resource Manager API rồi bật tính năng này.

Cấp vai trò bằng IAM

Chuyển đến trang IAM.

Tên dự án của bạn sẽ xuất hiện trong bộ chọn dự án. Bộ chọn dự án cho biết bạn đang ở dự án nào.

Trang IAM cho thấy bộ chọn tên dự án.

Nếu bạn không thấy tên dự án của mình, hãy dùng bộ chọn dự án để chọn dự án đó.

Nhấp vào Thêm.
Nhập địa chỉ email của một người đại diện.
Trong trình đơn thả xuống Chọn một vai trò, hãy chọn Ghi nhật ký > Trình xem nhật ký > Lưu.

Trang IAM đang hiển thị

Xác minh rằng người dùng và vai trò được liệt kê trên trang IAM.

Vậy là bạn đã cấp một vai trò quản lý danh tính và quyền truy cập cho một đối tượng chính!

Quan sát các tác động của vai trò quản lý danh tính và quyền truy cập

Trong phần này, bạn xác minh rằng người dùng mà bạn đã cấp vai trò có thể truy cập vào các trang dự kiến trên Cloud Console:

Gửi URL này cho người được bạn cấp vai trò:

https://console.cloud.google.com/logs?project=PROJECT_ID

Xác minh rằng người dùng chính có thể truy cập và xem URL.

Chủ thể không thể truy cập vào một trang Cloud Console mà họ chưa được cấp vai trò thích hợp. Thay vào đó, họ sẽ thấy một thông báo lỗi như ví dụ này:

You don't have permissions to view logs.

Cấp các vai trò khác cho cùng một đối tượng chính

Trong Cloud Console, hãy chuyển đến trang IAM.
Tìm người dùng mà bạn muốn cấp một vai trò khác, sau đó nhấp vào Chỉnh sửa .
Trong ngăn Chỉnh sửa quyền, hãy nhấp vào Thêm một vai trò khác.

Ngăn Chỉnh sửa quyền, cho thấy lựa chọn Thêm vai trò khác.

Trong trình đơn thả xuống Chọn vai trò, hãy nhấp vào Dự án > Người xem > Lưu.

Ngăn chỉnh sửa quyền, cho thấy các lựa chọn về vai trò.

Giờ đây, người dùng chính có vai trò quản lý danh tính và quyền truy cập thứ hai.

Thu hồi các vai trò đã cấp cho đối tượng chính

Tìm người dùng mà bạn muốn thu hồi vai trò, sau đó nhấp vào biểu tượng Chỉnh sửa .
Trong ngăn Chỉnh sửa quyền, hãy nhấp vào biểu tượng bên cạnh cả hai vai trò mà bạn đã cấp cho người dùng.
Nhấp vào Lưu.

Bạn đã xoá đối tượng chính khỏi cả hai vai trò. Nếu người này cố gắng xem bất kỳ trang nào mà trước đây họ có thể truy cập, họ sẽ thấy thông báo lỗi.

4. Dọn dẹp

Để tránh bị tính phí cho tài khoản Google Cloud đối với các tài nguyên được dùng trong lớp học lập trình này, hãy làm như sau:

Thận trọng: Khi bạn xoá một dự án:

Mọi nội dung trong dự án sẽ bị xoá. Nếu đã sử dụng một dự án hiện có cho hướng dẫn này, bạn cũng sẽ xoá mọi công việc khác mà bạn đã thực hiện trong dự án đó.
Mã dự án tuỳ chỉnh sẽ bị mất. Khi tạo dự án này, có thể bạn đã tạo một mã dự án tuỳ chỉnh mà bạn muốn sử dụng trong tương lai. Để giữ lại những URL sử dụng mã dự án (chẳng hạn như URL appspot.com), hãy xoá các tài nguyên đã chọn trong dự án thay vì xoá toàn bộ dự án.

Nếu dự định khám phá nhiều lớp học lập trình hoặc hướng dẫn nhanh, bạn có thể sử dụng lại các dự án để không vượt quá hạn mức dự án.

Trong Cloud Console, hãy chuyển đến trang Quản lý tài nguyên.
Trong danh sách dự án, hãy chọn dự án mà bạn muốn xoá rồi nhấp vào Xoá.
Trong hộp thoại, hãy nhập mã dự án rồi nhấp vào Tắt để xoá dự án.

5. Xin chúc mừng

Xin chúc mừng! Bạn đã tìm hiểu cách thiết lập một ứng dụng OAuth và sử dụng Cloud Console để cấp vai trò quản lý danh tính và quyền truy cập cho các thực thể chính trong dự án của mình.