Zugriff auf Ihr Projekt mit IAM gewähren

1. Hinweis

In diesem Codelab erfahren Sie, wie Sie einen OAuth-Client einrichten und mithilfe der Google Cloud Console Hauptkonten für Ihr Projekt IAM-Rollen (Identity and Access Management) zuweisen.

Vorbereitung

  • Berechtigung zur Navigation in der Cloud Console.

Lerninhalte

  • So richtest du deine App als OAuth-Client ein.
  • Hier erfahren Sie, wie Sie den Zugriff auf Ihre Anwendung mit Identity and Access Management (IAM) einschränken.

Voraussetzungen

2. Google Cloud-Projekt erstellen und Rechnungskonto einrichten

  1. Melden Sie sich in der Cloud Console an.
  1. Rufen Sie die Seite Projektauswahl auf.
  2. Klicken Sie auf Projekt erstellen.
  3. Benennen Sie Ihr Projekt und notieren Sie sich die generierte Projekt-ID.
  4. Bearbeiten Sie die anderen Felder nach Bedarf.
  1. Klicken Sie auf Erstellen.
  2. Falls noch nicht geschehen, aktivieren Sie die Abrechnung in der Cloud Console, um Google Cloud-Ressourcen zu verwenden.

Dieses Codelab sollte nicht teuer sein. Folgen Sie der Anleitung im Abschnitt Bereinigen, um Ressourcen zu beenden und Kosten zu vermeiden, die über dieses Codelab hinausgehen. Hinweis: Neue Google Cloud-Nutzer haben Anspruch auf das Probeabo mit 300$Guthaben.

3. Zugriff mit IAM gewähren

Mit IAM können Sie Nutzern rollenbasierten Zugriff auf Ihr Projekt und Ihre Ressourcen gewähren. In diesem Abschnitt verwenden Sie IAM, um einem Nutzer Zugriff auf einige Rollen für Ihr Projekt zu gewähren.

IAM und Resource Manager APIs aktivieren

  1. Klicken Sie im Navigationsmenü der Cloud Console auf APIs und Dienste.

Navigationsmenü in der Cloud Console mit APIs und Dienste.

  1. Wählen Sie APIS UND DIENSTE AKTIVIEREN aus.

Option „APIS UND DIENSTE AKTIVIEREN“

  1. Suchen Sie nach der IAM API und aktivieren Sie sie.
  2. Suchen Sie nach Resource Manager API und aktivieren Sie die Funktion.

Rolle mit IAM gewähren

  1. Rufen Sie die IAM-Seite auf.

Der Name Ihres Projekts wird in der Projektauswahl angezeigt. In der Projektauswahl sehen Sie, an welchem Projekt Sie sich befinden.

IAM-Seite mit der Auswahl des Projektnamens

Wenn Sie den Namen des Projekts nicht sehen, verwenden Sie die Projektauswahl, um ihn auszuwählen.

  1. Klicken Sie auf Hinzufügen.
  2. Geben Sie die E-Mail-Adresse eines Hauptkontos ein.
  3. Wählen Sie im Drop-down-Menü Rolle auswählen die Option Logging aus. Loganzeige > Speichern.

IAM-Seite wird angezeigt

  1. Prüfen Sie, ob das Hauptkonto und die Rolle auf der Seite IAM aufgeführt sind.

Das ist alles – Sie haben einem Hauptkonto eine Rolle für die Identitäts- und Zugriffsverwaltung zugewiesen.

Auswirkungen von Identitäts- und Zugriffsverwaltungsrollen beobachten

In diesem Abschnitt prüfen Sie, ob das Hauptkonto, dem Sie eine Rolle zugewiesen haben, auf die erwarteten Cloud Console-Seiten zugreifen kann:

  1. Senden Sie diese URL an das Hauptkonto, dem Sie die Rolle gewährt haben:

https://console.cloud.google.com/logs?project=PROJECT_ID

  1. Prüfen Sie, ob das Hauptkonto die URL aufrufen und ansehen kann.

Das Hauptkonto kann nicht auf eine Cloud Console-Seite zugreifen, für die ihm nicht die entsprechende Rolle gewährt wurde. Stattdessen wird eine Fehlermeldung wie die folgende angezeigt:

You don't have permissions to view logs.

Demselben Hauptkonto eine oder mehrere Rollen zuweisen

  1. Rufen Sie in der Cloud Console die Seite IAM auf.
  2. Suchen Sie das Hauptkonto, dem Sie eine weitere Rolle zuweisen möchten, und klicken Sie dann auf Bearbeiten d489bd059474ae59.png.
  3. Klicken Sie im Bereich Berechtigungen bearbeiten auf Weitere Rolle hinzufügen.

Im Bereich „Berechtigungen bearbeiten“ ist die Option „Weitere Rolle hinzufügen“ zu sehen.

  1. Klicken Sie im Drop-down-Menü Rolle auswählen auf Projekt > Betrachter > Speichern.

Bereich „Berechtigungen bearbeiten“ mit Optionen für Rollen

Das Hauptkonto hat jetzt eine zweite Rolle für die Identitäts- und Zugriffsverwaltung.

Einem Hauptkonto zugewiesene Rollen aufheben

  1. Suchen Sie das Hauptkonto, dessen Rolle Sie widerrufen möchten, und klicken Sie dann auf d489bd059474ae59.pngBearbeiten .
  2. Klicken Sie im Bereich Berechtigungen bearbeiten neben den beiden Rollen, die Sie dem Hauptkonto zuvor gewährt haben, auf 17033682fbdcca9c.png.
  3. Klicken Sie auf Speichern.

Sie haben das Hauptkonto aus beiden Rollen entfernt. Wenn diese Person versucht, eine der Seiten aufzurufen, auf die sie vorher noch zugreifen konnte, erhält sie eine Fehlermeldung.

4. Bereinigen

So vermeiden Sie, dass Ihrem Google Cloud-Konto die in diesem Codelab verwendeten Ressourcen in Rechnung gestellt werden:

  1. Rufen Sie in der Cloud Console die Seite Ressourcen verwalten auf.
  2. Wählen Sie in der Projektliste das Projekt aus, das Sie löschen möchten, und klicken Sie auf Löschen.
  3. Geben Sie im Dialogfeld die Projekt-ID ein und klicken Sie auf Beenden, um das Projekt zu löschen.

5. Glückwunsch

Glückwunsch! Sie haben gelernt, wie Sie einen OAuth-Client einrichten und die Cloud Console verwenden, um Hauptkonten für Ihr Projekt Rollen zur Identitäts- und Zugriffsverwaltung zuzuweisen.