GSP064

Présentation

Le service Google Cloud Identity and Access Management (IAM) permet de créer et de gérer des autorisations pour les ressources Google Cloud. Cloud IAM centralise le contrôle des accès aux services Google Cloud dans un seul système, et fournit un ensemble cohérent d'opérations. Dans cet atelier pratique, vous allez apprendre à attribuer un rôle à un deuxième utilisateur et à supprimer des rôles attribués associés à Cloud IAM. Plus précisément, vous vous connecterez avec deux jeux différents d'identifiants : vous verrez comment attribuer et révoquer des autorisations avec le rôle de propriétaire de projet Google Cloud, puis en observerez l'impact sur le rôle de lecteur.

Prérequis

Cet atelier s'adresse aux débutants. Il ne nécessite aucune connaissance particulière de Cloud IAM. Savoir se servir de Cloud Storage est utile pour réaliser certaines tâches, mais ce n'est pas obligatoire. Vérifiez que vous disposez bien d'un fichier .txt ou .html. Si vous souhaitez approfondir vos connaissances sur Cloud IAM, consultez cet atelier :

• Rôles IAM personnalisés

Lorsque vous êtes prêt, faites défiler la page vers le bas pour passer à la configuration de l'atelier.

Configuration pour deux utilisateurs

Comme indiqué précédemment, cet atelier fournit deux jeux d'identifiants pour illustrer les stratégies IAM et les autorisations accordées en fonction des rôles attribués.

Dans le panneau gauche de votre atelier, la liste des identifiants qui s'affiche ressemble à ce qui suit :

Notez qu'il existe deux noms d'utilisateur : Username 1 (Nom d'utilisateur 1) et Username 2 (Nom d'utilisateur 2). Ils représentent des identités dans Cloud IAM possédant chacune des autorisations d'accès différentes. Ces "rôles" définissent les limites de vos actions sur les ressources Google Cloud du projet qui vous a été attribué.

Connexion à Cloud Console avec le premier nom d'utilisateur

1. Cliquez sur le bouton Open Google Console (Ouvrir la console Google). Un nouvel onglet s'affiche dans le navigateur. Si l'option Choose an account (Sélectionner un compte) apparaît, cliquez sur Use another account (Utiliser un autre compte).
2. La page de connexion à Google Cloud s'affiche. Dans le champ "Email or phone" (Adresse e-mail ou numéro de téléphone), copiez-collez l'identifiant de Username 1 dont le format doit se présenter comme suit : googlexxxxxx_student@qwiklabs.net.
3. Copiez le mot de passe fourni dans le panneau "Connection Details" (Informations de connexion), puis collez-le dans le champ correspondant de la page de connexion GCP.
4. Cliquez sur Next (Suivant), puis sur Accept (Accepter) pour valider les conditions d'utilisation. La console Google Cloud Platform s'ouvre. Cliquez sur Agree (Accepter) pour valider les conditions d'utilisation, puis cochez la case No (Non) pour ne pas recevoir de notifications par e-mail :

Connexion à Cloud Console avec le deuxième nom d'utilisateur

1. Cliquez à nouveau sur le bouton Open Google Console (Ouvrir la console Google). Un nouvel onglet s'ouvre dans le navigateur. Si l'option Choose an account (Sélectionner un compte) apparaît, cliquez sur Use another account (Utiliser un autre compte).
2. La page de connexion à Google Cloud s'affiche. Dans le champ Email or phone (Adresse e-mail ou numéro de téléphone), copiez-collez l'identifiant de Username 2 dont le format doit se présenter comme suit : googlexxxxxx_student@qwiklabs.net.
3. Copiez le mot de passe fourni dans le panneau Connection Details (Informations de connexion), puis collez-le dans le champ correspondant de la page de connexion GCP.
4. Cliquez sur Next (Suivant), puis sur Accept (Accepter) pour valider les conditions d'utilisation. La console Google Cloud Platform s'ouvre. Cliquez sur Agree (Accepter) pour valider les conditions d'utilisation, puis cochez la case No (Non) pour ne pas recevoir de notifications par e-mail :

Deux onglets de Cloud Console doivent maintenant être ouverts dans le navigateur : l'un connecté avec Username 1 et l'autre avec Username 2.

Afficher ou réinitialiser l'utilisateur dans un onglet de navigateur

Il arrive qu'un utilisateur soit remplacé par un autre dans un onglet de navigateur, ou que vous ne sachiez pas vraiment quel utilisateur est connecté dans tel ou tel onglet.

Pour identifier l'utilisateur connecté dans un onglet, passez la souris sur votre avatar afin d'afficher le nom d'utilisateur associé à cet onglet.

Pour réinitialiser l'utilisateur connecté dans un onglet, procédez comme suit :

1. Cliquez sur votre avatar, puis sur Sign out (Déconnexion) pour vous déconnecter.

2. Dans le panneau Connection Details (Informations de connexion), cliquez sur Open Google Console (Ouvrir la console Google), puis connectez-vous à l'aide du nom d'utilisateur et du mot de passe appropriés.

Console IAM et rôles au niveau du projet

1. Revenez à la page Username 1 de Cloud Console.
2. Dans le menu de navigation, cliquez sur IAM & admin > IAM (IAM et administration > IAM). Vous accédez à la console "IAM & admin" (IAM et administration).
3. Cliquez sur le bouton + ADD (+ AJOUTER) en haut de la page, puis consultez les rôles associés aux projets dans le menu déroulant "Select a role" (Sélectionner un rôle) :

Les rôles "Browser" (Explorateur), "Editor" (Collaborateur), "Owner" (Propriétaire) et "Viewer" (Lecteur) s'affichent. Ils correspondent aux rôles primitifs dans Google Cloud. Les rôles primitifs définissent les autorisations au niveau du projet et, sauf indication contraire, contrôlent l'accès à tous les services GCP et leur gestion.

Les définitions figurant dans le tableau suivant sont tirées de la documentation sur les rôles de Google Cloud, et présentent brièvement les autorisations associées aux rôles "Browser" (Explorateur), "Viewer" (Lecteur), "Editor" (Collaborateur) et "Owner" (Propriétaire) :

Nom du rôle	Autorisations
roles/viewer	Autorisations permettant de réaliser des actions en lecture seule qui n'affectent pas l'état du projet, comme consulter (mais pas modifier) des ressources ou des données existantes.
roles/editor (rôles/éditeur)	Toutes les autorisations accordées au rôle de lecteur et autorisations permettant de réaliser des actions qui modifient l'état du projet, comme modifier des ressources existantes.
roles/owner (rôles/propriétaire)	Toutes les autorisations accordées au rôle d'éditeur et autorisations permettant de réaliser les actions suivantes : Gérer les rôles et autorisations d'un projet et de toutes ses ressources Configurer la facturation d'un projet
roles/browser (rôles/navigateur [bêta])	Accès en lecture permettant de consulter la hiérarchie d'un projet (dossier, organisation et stratégie Cloud IAM). Ce rôle ne donne pas l'autorisation d'afficher les ressources du projet.

Dans la mesure où vous pouvez gérer les rôles et autorisations de ce projet, Username 1 dispose des autorisations associées au rôle de propriétaire de projet.

4. Cliquez sur CANCEL (ANNULER) pour quitter le panneau "Add member" (Ajouter un membre).

Explorer les rôles de collaborateur

Passez maintenant à la console de Username 2.

1. Dans la console "IAM & admin" (IAM et administration), accédez au menu de navigation > IAM & admin > IAM (IAM et administration > IAM).

2. Recherchez "Username 1" et "Username 2" dans le tableau, puis examinez leurs rôles. Ce type de message s'affiche :

Vous obtenez le résultat suivant :

• Username 2 est associé au rôle "Viewer" (Lecteur).
• Le bouton + ADD (+ AJOUTER) en haut de la page est grisé. Si vous essayez de cliquer dessus, vous obtenez le message suivant :

Cet exemple illustre les autorisations des utilisateurs en fonction des rôles IAM dans Google Cloud.

3. Revenez à la console de Username 1 pour l'étape suivante.

Préparer une ressource pour tester l'accès

Vérifiez que vous êtes bien dans le Cloud Console de Username 1.

Créer un bucket

1. Créez un bucket Cloud Storage avec un nom unique. Dans Cloud Console, accédez au menu de navigation > Storage > Browser (Stockage > Navigateur).

2. Cliquez sur Create bucket (Créer un bucket).

3. Modifiez les champs suivants et conservez les valeurs par défaut dans les autres champs :

Property (Propriété)	Value (Valeur)
Name (Nom) :	nom unique (à créer vous-même) et cliquez sur Continuer.
Type d'emplacement:	Multi-Region

Notez le nom du bucket. Vous en aurez besoin lors d'une prochaine étape.

4. Cliquez sur Create (Créer).

Importer un exemple de fichier

1. Sur la page "Bucket Details" (Informations sur le bucket), cliquez sur le bouton Upload files (Importer des fichiers).

2. Parcourez votre ordinateur pour trouver un exemple de fichier à utiliser. N'importe quel fichier texte ou HTML conviendra.

3. Cliquez sur les trois points au bout de la ligne qui contient le fichier, puis cliquez sur Rename (Renommer).

4. Renommez le fichier sample.txt.

5. Cliquez sur Rename (Renommer).

Cliquez sur Check my progress (Vérifier ma progression) pour vérifier l'objectif.

Créer un bucket et importer un exemple de fichier

Vérifier l'accès d'un lecteur de projet

1. Passez à la console de Username 2.

2. Accédez au menu de navigation, puis cliquez sur Storage > Browser (Stockage > Navigateur). Vérifiez que cet utilisateur peut voir le bucket.

Username 2 est associé au rôle de lecteur. Il peut donc réaliser des actions en lecture seule, qui n'affectent pas l'état du projet. Dans cet exemple, l'utilisateur peut afficher les fichiers et buckets Cloud Storage hébergés dans le projet Google Cloud auquel il a le droit d'accéder.

Supprimer l'accès au projet

Passez à la console de Username 1.

Supprimer le rôle de lecteur de projet pour Username 2

1. Dans le menu de navigation, cliquez sur IAM & admin > IAM (IAM et administration > IAM). Cliquez ensuite sur l'icône en forme de crayon à côté de Username 2.

2. Pour supprimer l'accès en tant que lecteur de projet de Username 2, cliquez sur l'icône en forme de corbeille à côté du nom de rôle. Ensuite, cliquez sur Save (Enregistrer).

Vous remarquerez que l'utilisateur a disparu de la liste. Il n'a donc plus accès au projet.

Vérifier que l'accès de Username 2 a été supprimé

1. Passez à la Cloud Console de Username 2. Vérifiez que vous êtes toujours connecté avec les identifiants de Username 2 et que vous n'avez pas été déconnecté du projet après la révocation des autorisations. Si vous êtes déconnecté, reconnectez-vous à l'aide des bons identifiants.

2. Revenez dans Cloud Storage. Pour ce faire, accédez au menu de navigation, puis cliquez sur Storage > Browser (Stockage > Navigateur).

Une erreur d'autorisation s'affiche.

Cliquez sur Check my progress (Vérifier ma progression) pour vérifier l'objectif.

Supprimer l'accès au projet

Ajouter des autorisations dans Storage

1. Copiez le nom Username 2 indiqué dans le panneau "Connection Details" (Informations de connexion) de Qwiklabs.

2. Passez à la console de Username 1. Vérifiez que vous êtes toujours connecté avec les identifiants de Username 1. Si vous êtes déconnecté, reconnectez-vous à l'aide des bons identifiants.

3. Dans la console, accédez au menu de navigation, puis cliquez sur IAM & admin > IAM (IAM et administration > IAM).

4. Cliquez sur + ADD (+ AJOUTER), puis copiez le nom (Username 2) dans le champ "New members" (Nouveaux membres).

5. Dans le champ Roles (Rôles), sélectionnez Cloud Storage > Storage Object Viewer (Cloud Storage > Lecteur des objets de l'espace de stockage) dans le menu déroulant.

6. Cliquez sur Save (Enregistrer).

Vérifier l'accès

1. Passez à la console de Username 2. Vous serez encore sur la page Storage.

Username 2 n'a pas le rôle de lecteur de projet. Il n'a donc pas accès au projet ni aux ressources associées dans la console. Il dispose toutefois d'un accès spécifique à Cloud Storage, au rôle de lecteur des objets de l'espace de stockage. Vérifiez cela maintenant.

2. Cliquez sur l'icône Activate Cloud Shell (Activer Cloud Shell) pour ouvrir la ligne de commande Cloud Shell.

3. Ouvrez une session Cloud Shell, puis saisissez la commande suivante en remplaçant [YOUR_BUCKET_NAME] par le nom du bucket créé précédemment :

gsutil ls gs://[YOUR_BUCKET_NAME]

3. Vous devez obtenir un résultat semblable au suivant :

gs://[YOUR_BUCKET_NAME]/sample.txt

4. Vous avez attribué à Username 2 un accès en lecture au bucket Cloud Storage.

Cliquez sur Check my progress (Vérifier ma progression) pour vérifier l'objectif.

Ajouter des autorisations dans Storage

Félicitations !

Vous avez terminé l'atelier au cours duquel vous avez appris à attribuer et à révoquer des rôles Cloud IAM.

Terminer votre quête

Cet atelier d'auto-formation fait partie des quêtes Security & Identity Fundamentals, Baseline: Infrastructure et Cloud Engineering. Une quête est une série d'ateliers associés qui constituent une formation. Si vous terminez cette quête, vous obtiendrez le badge ci-dessus attestant de votre réussite. Vous pouvez rendre publics vos badges et ajouter leurs liens dans votre CV en ligne ou sur vos comptes de réseaux sociaux. Inscrivez-vous à cette quête pour obtenir immédiatement les crédits associés à cet atelier si vous l'avez suivi. Découvrez les autres quêtes Qwiklabs disponibles.

Étapes suivantes et informations supplémentaires

Cet atelier fait partie d'une série appelée "Qwik Starts". Les ateliers de cette série sont conçus pour vous présenter brièvement les nombreuses fonctionnalités proposées par Google Cloud. Pour suivre un autre atelier, recherchez "Qwik Starts" dans le catalogue.

Google Cloud Training & Certification

...helps you make the most of Google Cloud technologies. Our classes include technical skills and best practices to help you get up to speed quickly and continue your learning journey. We offer fundamental to advanced level training, with on-demand, live, and virtual options to suit your busy schedule. Certifications help you validate and prove your skill and expertise in Google Cloud technologies.

Dernière mise à jour du manuel : 14 décembre 2020

Dernier test de l'atelier : 14 décembre 2020

Copyright 2020 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.