Przyznawanie dostępu do projektu za pomocą uprawnień

1. Zanim zaczniesz

Z tego ćwiczenia w Codelabs dowiesz się, jak skonfigurować klienta OAuth i jak za pomocą Google Cloud Console przypisywać role uprawnień Identity and Access Management do podmiotów zabezpieczeń w projekcie.

Wymagania wstępne

  • Możliwość poruszania się po konsoli Google Cloud.

Czego się nauczysz

  • Jak skonfigurować aplikację jako klienta OAuth.
  • Jak ograniczyć dostęp do aplikacji za pomocą Identity and Access Management (IAM).

Czego potrzebujesz

2. Tworzenie projektu Google Cloud i konfigurowanie konta rozliczeniowego

  1. Zaloguj się w konsoli Google Cloud.
  1. Otwórz stronę selektora projektów.
  2. Kliknij Utwórz projekt.
  3. Nazwij swój projekt i zanotuj wygenerowany identyfikator.
  4. W razie potrzeby zmodyfikuj pozostałe pola.
  1. Kliknij Utwórz.
  2. Aby korzystać z zasobów Google Cloud, włącz płatności w Cloud Console, jeśli nie jest jeszcze włączone.

Ćwiczenie z programowania nie powinno kosztować, ale możesz wykonać czynności opisane w sekcji Czyszczenie, aby wyłączyć zasoby i uniknąć kosztów, które nie wystarczą. Pamiętaj, że nowi użytkownicy Google Cloud mogą skorzystać z bezpłatnego okresu próbnego o wartości 300 USD.

3. Przyznaj dostęp za pomocą uprawnień

Uprawnienia umożliwiają przyznawanie użytkownikom dostępu na podstawie ról w projekcie i zasobach. W tej sekcji użyjesz uprawnień, aby przyznać użytkownikowi dostęp do kilku ról w projekcie.

Włączanie interfejsów IAM API i interfejsów Resource Manager API

  1. W menu nawigacyjnym w konsoli Cloud kliknij Interfejsy API i Usługi.

Menu nawigacyjne w konsoli Google Cloud przedstawiające interfejsy API Opcja Usługi.

  1. Kliknij WŁĄCZ INTERFEJSY API I USŁUGI.

Opcja WŁĄCZ INTERFEJSY API I USŁUGI

  1. Wyszukaj interfejs IAM API i włącz go.
  2. Wyszukaj aplikację Resource Manager API i włącz ją.

Przypisywanie roli z użyciem uprawnień

  1. Otwórz stronę Uprawnienia.

Nazwa projektu pojawi się w selektorze projektów. Selektor projektów pokazuje, w jakim projekcie jesteś.

Strona uprawnień z selektorem nazwy projektu.

Jeśli nie widzisz nazwy swojego projektu, wybierz go za pomocą selektora projektów.

  1. Kliknij Dodaj.
  2. Wpisz adres e-mail podmiotu zabezpieczeń.
  3. W menu Wybierz rolę kliknij Logowanie >. Przeglądarka logów > Zapisz.

Wyświetlam stronę uprawnień

  1. Sprawdź, czy podmiot zabezpieczeń i rola są wymienione na stronie IAM.

To wszystko – podmiotowi zabezpieczeń przyznano rolę zarządzania tożsamościami i dostępem.

Obserwowanie efektów ról zarządzania tożsamościami i dostępem

W tej sekcji sprawdzisz, czy podmiot zabezpieczeń, któremu przypisano rolę, ma dostęp do oczekiwanych stron Cloud Console:

  1. Wyślij ten adres URL do podmiotu zabezpieczeń, któremu przyznano rolę:

https://console.cloud.google.com/logs?project=PROJECT_ID

  1. Sprawdź, czy podmiot zabezpieczeń może uzyskać dostęp do adresu URL i go wyświetlić.

Podmiot zabezpieczeń nie ma dostępu do strony konsoli Cloud, do której nie przypisano odpowiedniej roli. Zamiast tego zobaczą komunikat o błędzie podobny do tego:

You don't have permissions to view logs.

Przypisz inne role temu samemu podmiotowi zabezpieczeń

  1. W konsoli Cloud otwórz stronę IAM.
  2. Znajdź podmiot zabezpieczeń, któremu chcesz przypisać inną rolę, i kliknij Edytuj d489bd059474ae59.png.
  3. W panelu Edytowanie uprawnień kliknij Dodaj kolejną rolę.

Panel uprawnień z widoczną opcją Dodaj kolejną rolę.

  1. W menu Wybierz rolę kliknij Projekt > Wyświetlający > Zapisz.

Panel uprawnień z widocznymi opcjami ról.

Podmiot zabezpieczeń ma teraz drugą rolę do zarządzania tożsamościami i dostępem.

Unieważnij role przypisane do podmiotu zabezpieczeń

  1. Znajdź podmiot zabezpieczeń, którego rolę chcesz unieważnić, i kliknij d489bd059474ae59.pngEdytuj .
  2. W panelu Edytowanie uprawnień kliknij 17033682fbdcca9c.png obok obu ról, które zostały Ci wcześniej przypisane do podmiotu zabezpieczeń.
  3. Kliknij Zapisz.

Podmiot zabezpieczeń został usunięty z obu ról. Jeśli ta osoba spróbuje wyświetlić dowolną stronę, do której miała wcześniej dostęp, zobaczy komunikat o błędzie.

4. Czyszczenie danych

Aby uniknąć opłat na Twoim koncie Google Cloud za zasoby zużyte w tym ćwiczeniu z programowania:

  1. W konsoli Cloud otwórz stronę Zarządzanie zasobami.
  2. Na liście projektów wybierz projekt do usunięcia, a następnie kliknij Usuń.
  3. W oknie wpisz identyfikator projektu i kliknij Wyłącz, aby usunąć projekt.

5. Gratulacje

Gratulacje! Wiesz już, jak skonfigurować klienta OAuth oraz za pomocą Cloud Console przypisywać role zarządzania tożsamościami i dostępem do podmiotów zabezpieczeń w projekcie.