Эта страница переведена с помощью Cloud Translation API.

Предоставьте доступ к вашему проекту с помощью IAM

1. Прежде чем начать

В этой лаборатории кода показано, как настроить клиент OAuth и как использовать Google Cloud Console для предоставления ролей управления идентификацией и доступом (IAM) участникам вашего проекта.

Предварительные условия

Возможность навигации по облачной консоли.

Что вы узнаете

Как настроить приложение в качестве клиента OAuth.
Как ограничить доступ к вашему приложению с помощью управления идентификацией и доступом (IAM).

Что вам понадобится

Современный веб-браузер, например Google Chrome.
Учетная запись Google, например учетная запись Gmail или учетная запись Google Workspace .
Доступ к учетной записи Cloud Billing или кредитной карте, которую можно использовать для подписки на бесплатную пробную версию .

2. Создайте проект Google Cloud и настройте платежный аккаунт.

Войдите в Cloud Console .

Перейдите на страницу выбора проекта .
Нажмите Создать проект .
Назовите свой проект, а затем запишите сгенерированный идентификатор проекта.
При необходимости отредактируйте остальные поля.

Нажмите Создать .
Если вы еще этого не сделали, включите выставление счетов в Cloud Console, чтобы использовать ресурсы Google Cloud.

Хотя эта кодовая лаборатория не должна стоить много, во всяком случае следуйте инструкциям в разделе «Очистка» , чтобы отключить ресурсы и избежать затрат, выходящих за рамки этой кодовой лаборатории. Обратите внимание, что новые пользователи Google Cloud имеют право на бесплатную пробную версию стоимостью 300 долларов США .

3. Предоставьте доступ с помощью IAM.

IAM позволяет предоставлять пользователям доступ на основе ролей к вашему проекту и ресурсам. В этом разделе вы используете IAM, чтобы предоставить пользователю доступ к нескольким ролям вашего проекта.

Включите API-интерфейсы IAM и Resource Manager.

В меню навигации Cloud Console выберите API и службы .

Меню навигации в облачной консоли с параметром «API и службы».

Выберите ВКЛЮЧИТЬ APIS И СЕРВИСЫ .

ВКЛЮЧИТЬ опцию APIS И УСЛУГ

Найдите IAM API и затем включите его.
Найдите Resource Manager API и включите его.

Предоставить роль с помощью IAM

Перейдите на страницу IAM .

Название вашего проекта появится в селекторе проектов. Селектор проектов сообщает вам, в каком проекте вы находитесь.

Страница IAM, показывающая выбор имени проекта.

Если вы не видите название своего проекта, выберите его с помощью селектора проектов.

Нажмите Добавить .
Введите адрес электронной почты руководителя.
В раскрывающемся меню «Выберите роль» выберите «Ведение журнала» > «Просмотр журналов» > «Сохранить» .

Показана страница IAM

Убедитесь, что участник и роль указаны на странице IAM .

Вот и все — вы предоставили принципалу роль управления идентификацией и доступом!

Наблюдайте за влиянием ролей управления идентификацией и доступом.

В этом разделе вы убедитесь, что субъект, которому вы предоставили роль, может получить доступ к ожидаемым страницам Cloud Console:

Отправьте этот URL-адрес субъекту, которому вы предоставили роль:

https://console.cloud.google.com/logs?project= PROJECT_ID

Убедитесь, что принципал может получить доступ к URL-адресу и просмотреть его.

Участник не может получить доступ к странице Cloud Console, для которой ему не предоставлена соответствующая роль. Вместо этого они видят сообщение об ошибке, подобное этому примеру:

You don't have permissions to view logs.

Предоставление других ролей тому же принципалу

В Cloud Console перейдите на страницу IAM .
Найдите участника, которому вы хотите предоставить другую роль, и нажмите « Изменить». .
На панели «Изменить разрешения» нажмите « Добавить другую роль» .

Панель редактирования разрешений с параметром Добавить другую роль.

В раскрывающемся меню «Выберите роль» нажмите «Проект» > «Просмотр» > «Сохранить» .

Панель редактирования разрешений, показывающая параметры роли.

У принципала теперь есть вторая роль управления идентификацией и доступом.

Отозвать роли, предоставленные принципалу

Найдите участника, чью роль вы хотите отозвать, и нажмите кнопку Редактировать .
На панели «Изменить разрешения» нажмите рядом с обеими ролями, которые вы ранее предоставили принципалу.
Нажмите Сохранить .

Вы удалили участника из обеих ролей. Если этот человек попытается просмотреть любую из страниц, к которым он ранее мог получить доступ, он увидит сообщение об ошибке.

4. Очистка

Чтобы избежать списания средств с вашей учетной записи Google Cloud за ресурсы, используемые в этой лаборатории кода:

Внимание: При удалении проекта:

Все в проекте удалено. Если для этого руководства вы использовали существующий проект, вы также удалите любую другую работу, выполненную в проекте.
Пользовательские идентификаторы проектов теряются. Создавая этот проект, вы, возможно, создали собственный идентификатор проекта, который хотите использовать в будущем. Чтобы сохранить URL-адреса, использующие идентификатор проекта, например URL-адрес appspot.com, удалите выбранные ресурсы внутри проекта, а не весь проект.

Если вы планируете изучить несколько лабораторий кода или кратких руководств, вы можете повторно использовать проекты, чтобы не выходить за пределы квоты проекта.

В Cloud Console перейдите на страницу «Управление ресурсами» .
В списке проектов выберите проект, который хотите удалить, и нажмите «Удалить» .
В диалоговом окне введите идентификатор проекта и нажмите «Завершить работу» , чтобы удалить проект.

5. Поздравления

Поздравляем! Вы узнали, как настроить клиент OAuth и использовать Cloud Console для предоставления ролей управления идентификацией и доступом участникам вашего проекта.