ให้สิทธิ์เข้าถึงโปรเจ็กต์ด้วย IAM

1. ก่อนเริ่มต้น

Codelab นี้จะแสดงวิธีตั้งค่าไคลเอ็นต์ OAuth และวิธีใช้ Google Cloud Console เพื่อมอบบทบาท Identity and Access Management (IAM) ให้กับผู้ใช้หลักของโปรเจ็กต์

ข้อกำหนดเบื้องต้น

  • ความสามารถในการไปยังส่วนต่างๆ ของ Cloud Console

สิ่งที่คุณจะได้เรียนรู้

  • วิธีตั้งค่าแอปเป็นไคลเอ็นต์ OAuth
  • วิธีจำกัดการเข้าถึงแอปด้วย Identity and Access Management (IAM)

สิ่งที่ต้องมี

2. สร้างโปรเจ็กต์ Google Cloud และตั้งค่าบัญชีสำหรับการเรียกเก็บเงิน

  1. ลงชื่อเข้าใช้ Cloud Console
  1. ไปที่หน้าตัวเลือกโปรเจ็กต์
  2. คลิกสร้างโครงการ
  3. ตั้งชื่อโปรเจ็กต์แล้วจดบันทึกรหัสโปรเจ็กต์ที่สร้างขึ้น
  4. แก้ไขฟิลด์อื่นๆ ตามต้องการ
  1. คลิกสร้าง
  2. หากยังไม่ได้ดำเนินการ ให้เปิดใช้การเรียกเก็บเงินใน Cloud Console เพื่อใช้ทรัพยากรของ Google Cloud

แม้ว่า Codelab นี้จะไม่มีค่าใช้จ่ายมากนัก (หากมี) ให้ทำตามวิธีการในส่วนล้างข้อมูลเพื่อปิดทรัพยากรและหลีกเลี่ยงค่าใช้จ่ายนอกเหนือจาก Codelab นี้ โปรดทราบว่าผู้ใช้ใหม่ของ Google Cloud มีสิทธิ์รับช่วงทดลองใช้ฟรี US$300

3. ให้สิทธิ์เข้าถึงด้วย IAM

IAM ให้คุณให้สิทธิ์เข้าถึงตามบทบาทแก่ผู้ใช้สำหรับโปรเจ็กต์และทรัพยากร ในส่วนนี้ คุณใช้ IAM เพื่อให้สิทธิ์ผู้ใช้ในการเข้าถึง 2 บทบาทในโปรเจ็กต์ของคุณ

เปิดใช้ IAM และ API ของผู้จัดการทรัพยากร

  1. ในเมนูการนําทางใน Cloud Console ให้คลิก API และ บริการ

เมนูการนำทางใน Cloud Console ที่แสดง API และ บริการ

  1. เลือกเปิดใช้ API และบริการ

เปิดใช้ตัวเลือก API และบริการ

  1. ค้นหา IAM API แล้วเปิดใช้
  2. ค้นหา Resource Manager API แล้วเปิดใช้

มอบบทบาทด้วย IAM

  1. ไปที่หน้า IAM

ชื่อโปรเจ็กต์จะปรากฏในตัวเลือกโปรเจ็กต์ ตัวเลือกโปรเจ็กต์จะบอกคุณว่ากำลังอยู่ในโปรเจ็กต์ใด

หน้า IAM ที่แสดงตัวเลือกชื่อโปรเจ็กต์

หากไม่เห็นชื่อโปรเจ็กต์ ให้ใช้ตัวเลือกโปรเจ็กต์เพื่อเลือก

  1. คลิกเพิ่ม
  2. ป้อนอีเมลของผู้ใช้หลัก
  3. จากเมนูแบบเลื่อนลงเลือกบทบาท ให้เลือกการบันทึก > ผู้ดูบันทึก > บันทึก

หน้า IAM แสดงอยู่

  1. ตรวจสอบว่ามีผู้ใช้หลักและบทบาทอยู่ในหน้า IAM

เพียงเท่านี้ คุณก็ได้มอบบทบาทการจัดการข้อมูลประจำตัวและสิทธิ์เข้าถึงให้กับครูใหญ่แล้ว

สังเกตผลกระทบของบทบาท Identity and Access Management

ในส่วนนี้ คุณต้องยืนยันว่าผู้ใช้หลักที่คุณได้รับบทบาทจะเข้าถึงหน้า Cloud Console ที่คาดไว้ได้

  1. ส่ง URL นี้ให้ผู้ใช้หลักที่คุณมอบบทบาทให้

https://console.cloud.google.com/logs?project=PROJECT_ID

  1. ตรวจสอบว่าผู้ใช้หลักเข้าถึงและดู URL ได้

ผู้ใช้หลักเข้าถึงหน้า Cloud Console ที่ไม่ได้รับบทบาทที่เหมาะสมไม่ได้ แต่จะเห็นข้อความแสดงข้อผิดพลาดดังตัวอย่างต่อไปนี้แทน

You don't have permissions to view logs.

มอบบทบาทอื่นให้ผู้ใช้หลักคนเดียวกัน

  1. ไปที่หน้า IAM ใน Cloud Console
  2. หาผู้ใช้หลักที่คุณต้องการมอบบทบาทอื่นให้ แล้วคลิกแก้ไข d489bd059474ae59.png
  3. ในแผงแก้ไขสิทธิ์ ให้คลิกเพิ่มบทบาทอื่น

ช่องแก้ไขสิทธิ์ที่แสดงตัวเลือก "เพิ่มบทบาทอื่น"

  1. ในเมนูแบบเลื่อนลงเลือกบทบาท ให้คลิกโปรเจ็กต์ > ผู้ดู > บันทึก

แก้ไขแผงสิทธิ์ ซึ่งแสดงตัวเลือกบทบาท

ผู้ใช้หลักมีบทบาทที่สองสำหรับ Identity and Access Management

เพิกถอนบทบาทที่มอบให้กับผู้ใช้หลัก

  1. มองหาผู้ใช้หลักที่คุณต้องการเพิกถอนบทบาท แล้วคลิกd489bd059474ae59.pngแก้ไข
  2. ในแผงแก้ไขสิทธิ์ ให้คลิก 17033682fbdcca9c.png ข้างทั้ง 2 บทบาทที่คุณได้มอบให้กับผู้ใช้หลักไว้ก่อนหน้านี้
  3. คลิกบันทึก

คุณนำผู้ใช้หลักออกจากทั้ง 2 บทบาท หากบุคคลนี้พยายามดูหน้าเว็บที่เคยเข้าถึงได้ก่อนหน้านี้ ก็จะเห็นข้อความแสดงข้อผิดพลาด

4. ล้างข้อมูล

วิธีหลีกเลี่ยงการเรียกเก็บเงินไปยังบัญชี Google Cloud สำหรับทรัพยากรที่ใช้ใน Codelab นี้

  1. ใน Cloud Console ให้ไปที่หน้าจัดการทรัพยากร
  2. ในรายการโปรเจ็กต์ ให้เลือกโปรเจ็กต์ที่ต้องการลบ แล้วคลิกลบ
  3. ในกล่องโต้ตอบ ให้พิมพ์รหัสโปรเจ็กต์แล้วคลิกปิดเครื่องเพื่อลบโปรเจ็กต์

5. ขอแสดงความยินดี

ยินดีด้วย คุณได้ดูวิธีตั้งค่าไคลเอ็นต์ OAuth และใช้ Cloud Console เพื่อมอบบทบาท Identity and Access Management ให้แก่ผู้ใช้หลักของโปรเจ็กต์แล้ว