הענקת גישה לפרויקט באמצעות IAM

1. לפני שמתחילים

בשיעור הזה תלמדו איך להגדיר לקוח OAuth ואיך להשתמש במסוף Google Cloud כדי להקצות תפקידים לניהול זהויות והרשאות גישה (IAM) לחשבונות משתמשים בפרויקט שלכם.

דרישות מוקדמות

  • יכולת לנווט במסוף Cloud.

מה תלמדו

  • איך להגדיר את האפליקציה כלקוח OAuth.
  • איך להגביל את הגישה לאפליקציה באמצעות ניהול זהויות והרשאות גישה (IAM).

למה תזדקק?

2. יצירת פרויקט ב-Google Cloud והגדרת חשבון לחיוב

  1. נכנסים למסוף Cloud.
  1. עוברים לדף בורר הפרויקטים.
  2. לוחצים על Create project.
  3. נותנים שם לפרויקט ורושמים לעצמכם את מזהה הפרויקט שנוצר.
  4. עורכים את שאר השדות לפי הצורך.
  1. לוחצים על יצירה.
  2. אם עדיין לא עשיתם זאת, עליכם להפעיל את החיוב במסוף Cloud כדי להשתמש במשאבים של Google Cloud.

אמנם ה-Codelab הזה לא אמור לעלות הרבה, אבל למעשה פועלים לפי ההוראות בקטע ניקוי כדי להשבית משאבים ולהימנע מעלויות מעבר ל-Codelab הזה. משתמשים חדשים ב-Google Cloud זכאים לתקופת ניסיון בחינם בסכום של 300 דולר ארה"ב.

3. הענקת גישה באמצעות IAM

בעזרת IAM תוכלו לתת למשתמשים גישה מבוססת-תפקידים בפרויקט ובמשאבים. בחלק הזה תשתמשו ב-IAM כדי להעניק למשתמש גישה לכמה תפקידים בפרויקט שלכם.

הפעלת ממשקי ה-API של IAM ושל מנהל המשאבים

  1. בתפריט הניווט שבמסוף Cloud, לוחצים על APIs & שירותים.

תפריט הניווט במסוף Cloud שמציג ממשקי API אפשרות שירותים.

  1. בוחרים באפשרות ENABLE APIS & SERVICES.

האפשרות ENABLE APIS AND SERVICES

  1. מחפשים את IAM API ומפעילים אותו.
  2. צריך לחפש את Resource Manager API ולהפעיל אותו.

מתן תפקידים באמצעות IAM

  1. נכנסים לדף IAM.

שם הפרויקט יופיע בבורר הפרויקטים. באמצעות בורר הפרויקטים אתם יכולים לראות באיזה פרויקט אתם עובדים.

דף IAM שמוצג בו בורר שם הפרויקט.

אם שם הפרויקט לא מופיע, בוחרים אותו באמצעות בורר הפרויקטים.

  1. לוחצים על הוספה.
  2. מזינים את כתובת האימייל של חשבון משתמש.
  3. בתפריט הנפתח Select a role, בוחרים Logging > מציג היומנים > שמירה.

דף IAM מוצג

  1. מוודאים שחשבונות המשתמשים והתפקידים מופיעים בדף IAM.

זהו — נתתם לחשבון משתמש תפקיד של ניהול זהויות והרשאות גישה!

בדיקת ההשפעות של תפקידי ניהול זהויות והרשאות גישה (IAM)

בקטע הזה מאמתים שלחשבון המשתמש שנתתם לו את התפקיד יש גישה לדפים הרצויים במסוף Cloud:

  1. שולחים את כתובת ה-URL הבאה לחשבון המשתמש שנתתם לו את התפקיד:

https://console.cloud.google.com/logs?project=PROJECT_ID

  1. מוודאים שלחשבון המשתמש יש גישה לכתובת ה-URL ושהדף נפתח.

חשבון המשתמש לא יכול להיכנס לדף במסוף Cloud שלא הוקצה לו התפקיד המתאים. במקום זאת, הם יראו הודעת שגיאה כמו הדוגמה הבאה:

You don't have permissions to view logs.

איך נותנים תפקידים אחרים לאותו חשבון ראשי

  1. נכנסים לדף IAM במסוף Cloud.
  2. מאתרים את חשבון המשתמש שרוצים לתת לו תפקיד נוסף ולוחצים על Edit d489bd059474ae59.png (עריכה).
  3. בחלונית Edit permissions לוחצים על Add another role.

חלונית עריכת ההרשאות, שבה מוצגת האפשרות 'הוספת תפקיד נוסף'.

  1. בתפריט הנפתח Select a role, לוחצים על Project > צופה > שמירה.

חלונית עריכת ההרשאות, מוצגות אפשרויות התפקידים.

לחשבון המשתמש יש עכשיו תפקיד נוסף בניהול זהויות והרשאות גישה.

ביטול התפקידים שהוקצו לחשבון המשתמש

  1. מוצאים את חשבון המשתמש שאת התפקיד שלו רוצים לבטל ולוחצים על d489bd059474ae59.pngEdit .
  2. בחלונית Edit permissions לוחצים על 17033682fbdcca9c.png לצד שני התפקידים שהקציתם בעבר לחשבון המשתמש.
  3. לוחצים על שמירה.

הסרתם את שני התפקידים מחשבון המשתמש. אם המשתמש הזה ינסה לצפות בדפים שאליהם הייתה לו גישה בעבר, תוצג לו הודעת שגיאה.

4. הסרת המשאבים

כדי להימנע מחיובים בחשבון Google Cloud עבור המשאבים ששימשו ב-Codelab הזה:

  1. במסוף Cloud, עוברים לדף Manage resources.
  2. ברשימת הפרויקטים, בוחרים את הפרויקט שרוצים למחוק ואז לוחצים על Delete.
  3. כדי למחוק את הפרויקט, כותבים את מזהה הפרויקט בתיבת הדו-שיח ולוחצים על Shut down.

5. מזל טוב

מעולה! למדנו איך להגדיר לקוח OAuth ולהשתמש במסוף Cloud כדי להקצות תפקידי ניהול זהויות והרשאות גישה לחשבונות משתמשים בפרויקט.