GSP064

Podsumowanie

Usługa Google Cloud Identity and Access Management (Cloud IAM) umożliwia tworzenie uprawnień do zasobów Google Cloud oraz zarządzanie nimi. Cloud IAM unifikuje kontrolę dostępu w usługach Google Cloud, tworząc jednorodny system i zapewniając spójny zestaw operacji.

W tym module zalogujesz się przy użyciu 2 różnych zestawów danych logowania, aby sprawdzić, jak przyznawanie i unieważnianie uprawnień wpływa na role właściciela projektu i wyświetlającego projekt w Google Cloud.

Czego się nauczysz

• Jak przypisać rolę drugiemu użytkownikowi.
• Jak usunąć przypisane role powiązane z Cloud IAM.

Wymagania wstępne

To jest moduł dla użytkowników początkujących. Zakładamy więc, że nie wiesz o Cloud IAM nic lub wiesz niewiele. Znajomość usługi Cloud Storage może ułatwić wykonanie zadań w tym module, ale nie jest wymagana. Do przejścia modułu będzie Ci potrzebny plik w formacie .txt lub .html. Jeśli szukasz bardziej zaawansowanych ćwiczeń dotyczących Cloud IAM, zapoznaj się z tym modułem Google Cloud Skills Boost: Niestandardowe role Cloud IAM.

Gdy zechcesz rozpocząć, przewiń stronę w dół i postępuj zgodnie z instrukcjami, aby skonfigurować środowisko modułu.

Konfiguracja dla 2 użytkowników

Jak już wspomnieliśmy, w tym module użyjesz 2 zestawów danych logowania, aby móc zapoznać się z zasadami Cloud IAM oraz uprawnieniami dostępnymi w przypadku poszczególnych ról.

W panelu Szczegóły modułu po lewej stronie modułu znajdziesz listę danych logowania, która przypomina listę poniżej:

Zwróć uwagę na 2 nazwy użytkowników: Username 1 i Username 2. Reprezentują one tożsamości w Cloud IAM. Do każdej z nazw zostały przydzielone inne uprawnienia dostępu. Te „role” decydują o dostępnych działaniach, jakie możesz wykonać na zasobach Google Cloud w przydzielonym projekcie.

Logowanie się w konsoli Cloud jako pierwszy użytkownik

1. Kliknij przycisk Otwórz konsolę Google. Zostanie otwarta nowa karta przeglądarki. Jeśli wyświetli się strona Wybierz konto, kliknij Użyj innego konta.
2. Otworzy się strona logowania w Google Cloud. Skopiuj dane logowania użytkownika Username 1 (podobne do googlexxxxxx_student@qwiklabs.net) i wklej je w polu „Adres e-mail lub telefon”, a następnie kliknij Dalej.
3. Skopiuj hasło z panelu Szczegóły modułu i wklej je w polu na hasło do Logowania przez Google.
4. Kliknij Dalej, a następnie zaakceptuj Warunki korzystania z usługi. Otworzy się konsola Cloud. Zaakceptuj warunki usługi i kliknij Zgadzam się i chcę przejść dalej.

Logowanie się w konsoli Cloud jako drugi użytkownik

1. Ponownie kliknij przycisk Otwórz konsolę Google. Otworzy się nowa karta przeglądarki. Jeśli wyświetli się strona Wybierz konto, kliknij Użyj innego konta.
2. Otworzy się strona logowania w Google Cloud. Skopiuj dane logowania użytkownika Username 2 (podobne do googlexxxxxx_student@qwiklabs.net) i wklej je w polu Adres e-mail lub telefon, a następnie kliknij Dalej.
3. Skopiuj hasło z panelu Szczegóły modułu i wklej je w polu na hasło do Logowania przez Google.
4. Kliknij Dalej, a następnie zaakceptuj Warunki korzystania z usługi. Otworzy się konsola Cloud. Zaakceptuj warunki usługi i kliknij Zgadzam się i chcę przejść dalej.

W przeglądarce powinny być otwarte 2 karty konsoli Cloud – jedna z zalogowanym użytkownikiem Username 1 i druga z użytkownikiem Username 2.

Wyświetlanie i resetowanie danych użytkownika na karcie przeglądarki

Czasami dane innego użytkownika mogą zastąpić dane użytkownika zalogowanego na określonej karcie przeglądarki. Rozróżnienie tego, który użytkownik jest zalogowany na danej karcie, może być kłopotliwe.

Aby sprawdzić, który użytkownik jest zalogowany na karcie przeglądarki, najedź kursorem myszy na awatar – na karcie pojawi się nazwa użytkownika.

Aby zresetować dane użytkownika zalogowanego na karcie przeglądarki, wykonaj te czynności:

1. Kliknij awatar, a następnie kliknij Wyloguj się, aby się wylogować.
2. W panelu Szczegóły połączenia kliknij Otwórz konsolę Google i zaloguj się ponownie przy użyciu odpowiedniej nazwy użytkownika i hasła.

Role na poziomie konsoli Uprawnień i projektu

1. Wróć do strony użytkownika Username 1 w konsoli Cloud.
2. Wybierz Menu nawigacyjne > Administracja > Uprawnienia. Jesteś teraz w konsoli „Administracja”.
3. Kliknij przycisk +PRZYZNAJ DOSTĘP u góry strony.
4. Przewiń w dół do sekcji Podstawowa i najedź na nią kursorem myszy.

Dostępne są 4 role:

• Przeglądający
• Edytujący
• Właściciel
• Wyświetlający

Są to role podstawowe w Google Cloud. Role podstawowe określają uprawnienia na poziomie projektu. Jeśli nie wskazano inaczej, od tych ról zależy dostęp do wszystkich usług Google Cloud. Role służą także do zarządzania tymi usługami.

Tabela poniżej zawiera definicje ról pochodzące z sekcji opisującej poziomy podstawowe w artykule o Google Cloud IAM (w języku angielskim). Znajdziesz tu krótkie omówienie uprawnień ról przeglądającego, wyświetlającego, edytującego i właściciela:

Nazwa roli	Uprawnienia
roles/viewer	Może wyświetlać zasoby i dane w trybie tylko do odczytu, ale nie może zmieniać istniejących zasobów ani danych.
roles/editor	Ma wszystkie uprawnienia roli Wyświetlający, może również wprowadzać zmiany w istniejących zasobach.
roles/owner	Ma wszystkie uprawnienia roli Edytujący i uprawnienia do wykonywania następujących działań: Zarządzanie rolami, uprawnieniami i wszystkimi zasobami w projekcie. Konfigurowanie rozliczeń w projekcie.
roles/browser	Dostęp w trybie odczytu umożliwiający wyświetlanie hierarchii projektu, w tym zasad folderów, organizacji i Cloud IAM. Ta rola nie obejmuje uprawnień do wyświetlania zasobów w projekcie.

Ponieważ możesz zarządzać rolami i uprawnieniami w tym projekcie, użytkownik Username 1 ma przypisane uprawnienia właściciela projektu.

4. Kliknij ANULUJ, aby wyjść z panelu „Dodaj podmiot zabezpieczeń”.

Więcej informacji o roli Edytujący

Teraz przejdź do konsoli użytkownika Username 2.

1. Otwórz konsolę Administracja i wybierz Menu nawigacyjne > Administracja > Uprawnienia.

2. W tabeli wyszukaj użytkowników Username 1 oraz Username 2 i sprawdź przyznane im role. Role użytkowników Username 1 oraz Username 2 są wskazane w tekście oraz na prawo od każdego z nich.

Zobaczysz, że:

• Użytkownikowi Username 2 została przyznana rola „Wyświetlający”.
• Przycisk +PRZYZNAJ DOSTĘP u góry strony jest wyszarzony – gdy spróbujesz go kliknąć, pojawi się komunikat „Potrzebujesz uprawnień, by wykonać to działanie. Wymagane uprawnienia: resource manager.projects.setIamPolicy”.

Ten przykład obrazuje, jak role Cloud IAM wpływają na działania, które można wykonywać w Google Cloud.

3. Zanim wykonasz kolejny krok, wróć do konsoli użytkownika Username 1.

Przygotowywanie zasobów do testowania dostępu

Upewnij się, że znajdujesz się w konsoli Cloud użytkownika Username 1.

Tworzenie zasobnika

1. Utwórz zasobnik Cloud Storage o unikalnej nazwie. W konsoli Cloud wybierz Menu nawigacyjne > Cloud Storage > Zasobniki.

2. Kliknij +UTWÓRZ.

Uwaga: jeśli podczas tworzenia zasobnika wyświetli się błąd uprawnień, wyloguj się i zaloguj ponownie przy użyciu danych logowania użytkownika Username 1.

3. Ustaw wymienione niżej wartości, a wszystkie pozostałe pozostaw domyślne:

Właściwość	Wartość
Nazwa:	Niepowtarzalna globalnie nazwa (utwórz ją samodzielnie) i kliknij DALEJ.
Typ lokalizacji:	Wiele regionów

Zanotuj nazwę zasobnika. Będzie Ci potrzebna w jednym z kolejnych kroków.

4. Kliknij UTWÓRZ.

Uwaga: jeśli podczas tworzenia zasobnika wyświetli się błąd uprawnień, wyloguj się i zaloguj ponownie przy użyciu danych logowania użytkownika Username 1.

Przesyłanie przykładowego pliku

1. Na stronie „Szczegóły zasobnika” kliknij PRZEŚLIJ PLIKI.

2. Na komputerze wyszukaj odpowiedni plik. Może to być dowolny plik w formacie .txt lub .html.

3. Kliknij 3 kropki znajdujące się na końcu wiersza zawierającego ten plik i kliknij Zmień nazwę.

4. Zmień nazwę pliku na „sample.txt”.

5. Kliknij ZMIEŃ NAZWĘ.

Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło.

Utworzenie zasobnika i przesłanie przykładowego pliku

Sprawdzanie dostępu na poziomie wyświetlającego projekt

1. Przejdź do konsoli użytkownika Username 2.

2. W konsoli wybierz Menu nawigacyjne > Cloud Storage > Zasobniki. Sprawdź, czy ten użytkownik widzi zasobnik.

Użytkownik Username 2 ma przypisaną rolę „Wyświetlający”, która umożliwia dostęp do zasobów w trybie tylko do odczytu, bez możliwości zmiany istniejących zasobów. Ten przykład ilustruje właśnie tę funkcję – użytkownik może wyświetlać zasobniki Cloud Storage i pliki przechowywane w projekcie Google Cloud, do którego ma przyznany dostęp.

Usuwanie dostępu do projektu

Przejdź do konsoli użytkownika Username 1.

Usuwanie roli Wyświetlający projekt przypisanej do użytkownika Username 2

1. Wybierz Menu nawigacyjne > Administracja > Uprawnienia. Następnie kliknij ikonę ołówka znajdującą się po prawej stronie użytkownika Username 2.

Uwaga: aby wyświetliła się ikona ołówka, konieczne może być poszerzenie ekranu.

2. Usuń rolę Wyświetlający projekt przypisaną do użytkownika Username 2, klikając ikonę kosza obok nazwy roli. Następnie kliknij ZAPISZ.

Zwróć uwagę na to, że użytkownik zniknął z Listy członków grupy – stracił właśnie dostęp.

Uwaga: zastosowanie tego typu zmian może zająć do 80 sekund. Więcej informacji o Google Cloud IAM znajdziesz w dokumentacji dotyczącej zasobów Google Cloud IAM – Najczęstsze pytania (w języku angielskim).

Sprawdzanie, czy użytkownik Username 2 utracił dostęp

1. Przejdź do konsoli Cloud użytkownika Username 2. Upewnij się, że użytkownik Username 2 jest wciąż zalogowany i nie został wylogowany z projektu po unieważnieniu uprawnień. Jeśli doszło do wylogowania, zaloguj się ponownie przy użyciu odpowiednich danych logowania.

2. Wróć do Cloud Storage, wybierając Menu nawigacyjne > Cloud Storage > Zasobniki.

Powinien pojawić się błąd uprawnień.

Uwaga: pamiętaj, że unieważnienie uprawnień może potrwać do 80 sekund. Jeśli nie wyświetlił się błąd wynikający z braku uprawnień, poczekaj 2 minuty i spróbuj odświeżyć konsolę.

Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło.

Usunięcie dostępu do projektu

Dodawanie uprawnień do Cloud Storage

1. Skopiuj nazwę użytkownika Username 2 z panelu Szczegóły modułu.

2. Przejdź do konsoli użytkownika Username 1. Sprawdź, czy użytkownik Username 1 nadal jest zalogowany. Jeśli doszło do wylogowania, zaloguj się ponownie przy użyciu odpowiednich danych logowania.

3. W konsoli wybierz Menu nawigacyjne > Administracja > Uprawnienia.

4. Kliknij przycisk +PRZYZNAJ DOSTĘP, a następnie w polu Nowe podmioty zabezpieczeń wklej nazwę użytkownika Username 2.

5. W polu Wybierz rolę kliknij Cloud Storage > Wyświetlający obiekty Cloud Storage w menu.

6. Kliknij ZAPISZ.

Sprawdzanie dostępu

1. Przejdź do konsoli użytkownika Username 2. Nadal znajdujesz się na stronie Przechowywanie danych.

Użytkownik Username 2 nie ma przypisanej roli Wyświetlający projekt, więc nie widzi ani projektu, ani jego zasobów. Użytkownik ma jednak przypisaną rolę Wyświetlający obiekty Cloud Storage, która gwarantuje dostęp do Cloud Storage. Sprawdź to teraz.

2. Kliknij Aktywuj Cloud Shell , aby otworzyć wiersz poleceń Cloud Shell. W razie potrzeby kliknij Dalej.

3. Otwórz sesję Cloud Shell, a następnie wpisz to polecenie, zastępując fragment [YOUR_BUCKET_NAME] nazwą utworzonego wcześniej zasobnika:

gsutil ls gs://[YOUR_BUCKET_NAME]

Wynik powinien wyglądać tak:

gs://[YOUR_BUCKET_NAME]/sample.txt Uwaga: jeśli wyświetli się tekst AccessDeniedException, poczekaj minutę i ponownie uruchom poprzednie polecenie.

4. Jak widać, użytkownik Username 2 otrzymał uprawnienia do wyświetlania zasobnika Cloud Storage.

Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło.

Dodanie uprawnień do Cloud Storage

Gratulacje!

W tym module udało Ci się przyznać i unieważnić role Cloud IAM.

Kolejne kroki / Więcej informacji

Ten moduł należy do serii modułów Qwik Start. Opracowaliśmy je, aby dać Ci przedsmak bogactwa funkcji dostępnych w Google Cloud. Wyszukaj „Qwik Start” w katalogu Google Cloud Skills Boost i znajdź kolejny interesujący Cię moduł.

Szkolenia i certyfikaty Google Cloud

…pomogą Ci wykorzystać wszystkie możliwości technologii Google Cloud. Nasze zajęcia obejmują umiejętności techniczne oraz sprawdzone metody, które ułatwią Ci szybką naukę i umożliwią jej kontynuację. Oferujemy szkolenia na poziomach od podstawowego po zaawansowany prowadzone w trybach wirtualnym, na żądanie i na żywo, dzięki czemu możesz dopasować program szkoleń do swojego napiętego harmonogramu. Certyfikaty umożliwią udokumentowanie i potwierdzenie Twoich umiejętności oraz doświadczenia w zakresie technologii Google Cloud.

Ostatnia aktualizacja instrukcji: 26 stycznia 2024 r.

Ostatni test modułu: 19 września 2023 r.

Copyright 2024 Google LLC. Wszelkie prawa zastrzeżone. Google i logo Google są znakami towarowymi Google LLC. Wszelkie inne nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów, z którymi są powiązane.