GSP064

Visão geral

O serviço Identity and Access Management (IAM) do Google Cloud permite criar e gerenciar permissões para os recursos do Google Cloud. O Cloud IAM unifica o controle de acesso dos serviços do Google Cloud em um só sistema e apresenta um conjunto consistente de operações.

Neste laboratório, você vai fazer login com dois conjuntos diferentes de credenciais para saber como a concessão e a revogação de permissões funcionam nos papéis de Proprietário e Leitor de projetos do Google Cloud.

Neste curso, você vai aprender a:

• Atribuir um papel a um segundo usuário
• Remover papéis atribuídos associados ao Cloud IAM

Pré-requisitos

Este é um laboratório de nível introdutório. Espera-se pouco ou nenhum conhecimento prévio do Cloud IAM. A experiência com o Cloud Storage é útil para concluir as tarefas neste laboratório, mas não é necessária. Confirme se há um arquivo em .txt ou .html disponível. Se quiser encontrar práticas mais avançadas com o Cloud IAM, confira o laboratório do Google Cloud Ensina IAM Custom Roles.

Quando estiver tudo pronto, role para baixo e siga as etapas para configurar seu ambiente de laboratório.

Configuração para dois usuários

Como foi mencionado antes, este laboratório conta com dois conjuntos de credenciais para ilustrar as políticas do IAM e as permissões disponíveis para papéis específicos.

No painel Conexão do laboratório no lado esquerdo do seu laboratório, é possível ver uma lista de credenciais semelhante à seguinte:

Observe que há dois nomes de usuário: Nome de usuário 1 e Nome de usuário 2. Eles representam identidades no Cloud IAM, cada uma com permissões de acesso diferentes alocadas a eles. Esses "papéis" estabelecem restrições sobre o que pode ou não ser feito com os recursos do Google Cloud no projeto alocado a você.

Faça login no Console do Cloud como o primeiro usuário

1. Clique no botão Abrir Console do Google. Uma nova guia do navegador será aberta. Se aparecer a mensagem Escolher uma conta, clique em Usar outra conta.
2. A página de login do Google Cloud é aberta. A página de login é aberta. Copie e cole a credencial do Nome de usuário 1, que é semelhante a googlexxxxxx_student@qwiklabs.net, no campo "E-mail ou telefone" e clique em Próximo.
3. Copie a senha do painel Conexão do laboratório e cole no campo de senha do Login do Google.
4. Clique em Próximo e em Aceitar os Termos de Serviço. O console do Cloud é aberto. Concorde com os Termos de Serviço e clique em Concordar e continuar.

Faça login no console do Cloud como o segundo usuário

1. Clique novamente no botão Abrir Console do Google. Uma nova guia do navegador será aberta. Se aparecer a mensagem Escolher uma conta, clique em Usar outra conta.
2. A página de login do Google Cloud é aberta. Copie e cole a credencial do Nome de usuário 2, que é semelhante a googlexxxxxx_student@qwiklabs.net, no campo E-mail ou telefone e clique em Próximo.
3. Copie a senha do painel Conexão do laboratório e cole no campo de senha do Login do Google.
4. Clique em Próximo e em Aceitar os Termos de Serviço. O console do Cloud é aberto. Concorde com os Termos de Serviço e clique em Concordar e continuar.

Você terá duas guias do console do Cloud abertas no navegador, uma conectada ao Nome de usuário 1 e outra com o Nome de usuário 2.

Veja ou redefina o usuário em uma guia do navegador

Às vezes, um usuário é substituído em uma guia do navegador ou você pode ficar confuso sobre qual usuário está conectado em qual guia.

Para saber qual usuário está conectado a uma guia do navegador, passe o cursor sobre o avatar para ver o nome de usuário.

Para redefinir o usuário que está conectado a uma guia do navegador:

1. Clique no avatar e em Sair.
2. No painel Conexão do laboratório, clique em Abrir console do Google e faça login novamente com o nome de usuário e a senha corretos.

O console do IAM e os papéis para envolvidos no projeto

1. Volte para a página do console do Cloud com o Nome de usuário 1.
2. Selecione Menu de navegação > IAM e administrador > IAM. Agora você está no console "IAM e administrador".
3. Clique no botão +CONCEDER ACESSO na parte superior da página
4. Role para baixo e passe o mouse em Básico.

Há quatro papéis:

• Navegador
• Editor
• Proprietário
• Leitor

Esses são os papéis primários no Google Cloud. Os papéis primários definem permissões para envolvidos no projeto e, a menos que especificado de outra maneira, controlam o acesso e o gerenciamento de todos os serviços do Google Cloud.

A tabela a seguir extrai definições do artigo do Google Cloud IAM Papéis básicos, que fornece uma breve visão geral das permissões dos papéis de navegador, leitor, editor e proprietário:

Nome do papel	Permissões
papéis/leitor	Permissões para ações somente leitura que não afetam o estado, como conferir (mas não modificar) recursos ou dados existentes.
papéis/editor	Todas as permissões de leitor e permissões para ações que modificam o estado, como a alteração de recursos existentes.
papéis/proprietário	Todas as permissões de editor e para as seguintes ações: Gerenciar papéis e permissões para um projeto e todos os recursos dentro dele. Configurar o faturamento de um projeto.
papéis/navegador	Acesso de leitura para navegar na hierarquia de um projeto, incluindo a pasta, a organização e a política do Cloud IAM. Este papel não inclui permissão para ver recursos no projeto.

Como você pode gerenciar os papéis e as permissões nesse projeto, o usuário Nome de usuário 1 tem permissões de proprietário do projeto.

4. Clique em CANCELAR para sair do painel "Adicionar principal".

Conheça os papéis do editor

Acesse o console do Nome de usuário 2.

1. Navegue até o console "IAM e administrador" e selecione Menu de navegação > IAM e administrador > IAM.

2. Pesquise na tabela para encontrar o Nome de usuário 1 e o Nome de usuário 2 e examine os papéis que foram concedidos. Os papéis Nome de usuário 1 e Nome de usuário 2 são listados inline e à direita de cada usuário.

Você verá:

• O Nome de usuário 2 tem o papel "Leitor".
• O botão +CONCEDER ACESSO na parte superior está esmaecido. Se você tentar clicar nele, verá a seguinte mensagem: "Você precisa ter permissões para esta ação. Permissões necessárias: resource manager.projects.setIamPolicy".

Este é um exemplo de como os papéis do IAM afetam o que você pode ou não fazer no Google Cloud.

3. Volte ao console do Nome de usuário 1 para a próxima etapa.

Prepare um recurso para testar o acesso

Verifique se você está usando o Nome de usuário 1 no Console do Cloud.

Crie um bucket

1. Crie um bucket do Cloud Storage com um nome exclusivo. No console do Cloud, acesse Menu de navegação > Cloud Storage > Buckets.

2. Clique em +CRIAR.

Observação: se você receber um erro de permissão para a criação do bucket, saia e faça login novamente com as credenciais do Nome de usuário 1.

3. Atualize os seguintes campos e deixe todos os outros com os valores padrão:

Propriedade	Valor
Nome:	nome exclusivo globalmente (crie o seu) e clique em CONTINUAR.
Tipo de local:	Multirregional

Anote o nome do bucket. Ele será usado em uma etapa posterior.

4. Clique em CRIAR.

Observação: se você receber um erro de permissão para a criação do bucket, saia e faça login novamente com as credenciais do Nome de usuário 1.

Faça upload de um arquivo de amostra

1. Na página "Detalhes do bucket", clique no botão FAZER UPLOAD DE ARQUIVOS.

2. Procure um arquivo no computador. Qualquer arquivo de texto ou html pode ser usado.

3. Clique nos três pontos no fim da linha que contém o arquivo e clique em Renomear.

4. Renomeie o arquivo como "sample.txt".

5. Clique em RENOMEAR.

Clique em Verificar meu progresso para conferir o objetivo.

Crie um bucket e faça upload de um arquivo de amostra

Verifique o acesso de leitor do projeto

1. Alterne para o console do Nome de usuário 2.

2. No Console, selecione Menu de navegação > Cloud Storage > Buckets. Verifique se esse usuário consegue visualizar o bucket.

O Nome de usuário 2 tem o papel "Leitor" para ações somente leitura que não afetam o estado. O exemplo ilustra esse recurso: é possível exibir buckets e arquivos do Cloud Storage hospedados no projeto do Google Cloud aos quais o usuário tem acesso.

Remova o acesso ao projeto

Acesse o console do Nome de usuário 1.

Remova o acesso de leitor do projeto do Nome de usuário 2

1. No console do Cloud, acesse o Menu de navegação > IAM e administrador > IAM. Em seguida, clique no ícone de lápis inline e à direita deNome de usuário 2.

Observação: talvez seja necessário ampliar a tela para ver o ícone de lápis.

2. Clique no ícone de lixeira ao lado do nome do papel para remover o acesso "Leitor do projeto" do Nome de usuário 2. Em seguida, clique em SALVAR.

Observe que o usuário foi excluído da lista de membros, portanto, não tem mais acesso ao projeto.

Observação: pode levar até 80 segundos para que essa mudança entre em vigor conforme ela se propaga. Leia mais sobre o Google Cloud IAM no tópico Perguntas frequentes da Documentação de recursos do Google Cloud IAM.

Verifique se o acesso do Nome de usuário 2 foi removido

1. Acesse o console do Cloud do Nome de usuário 2. Verifique se você ainda está usando as credenciais do Nome de usuário 2 e se ele não foi desconectado do projeto depois que as permissões foram revogadas. Se tiver saído, faça login novamente com as credenciais apropriadas.

2. Selecione Menu de navegação > Cloud Storage > Buckets para navegar de volta para o Cloud Storage.

Você verá um erro de permissão.

Observação: conforme mencionado, pode levar até 80 segundos para que as permissões sejam revogadas. Se você não recebeu um erro de permissão, aguarde dois minutos e atualize o Console.

Clique em Verificar meu progresso para conferir o objetivo.

Remova o acesso ao projeto

Adicione permissões do Cloud Storage

1. Copie o Nome de usuário 2 do painel Conexão do laboratório.

2. Acesse o console do Nome de usuário 1. Verifique se você ainda está conectado com as credenciais do Nome de usuário 1. Se estiver desconectado, faça login novamente com as credenciais adequadas.

3. No Console, selecione Menu de navegação > IAM e administrador > IAM.

4. Clique no botão +CONCEDER ACESSO para colar o Nome de usuário 2 no campo Novos principais.

5. No campo Selecionar um papel, selecione Cloud Storage > Leitor de objetos do Storage no menu suspenso.

6. Clique em SALVAR.

Verifique o acesso

1. Alterne para o console do Nome de usuário 2. Você ainda estará na página do Cloud Storage.

O Nome de usuário 2 não tem o papel de "Leitor do projeto" e, portanto, não pode ver o projeto nem os recursos dele no Console. No entanto, esse usuário tem acesso específico ao Cloud Storage com o papel de "Leitor de objetos do Storage". Verifique agora.

2. Clique em Ativar o Cloud Shell para abrir a linha de comando do Cloud Shell. Se for solicitado, clique em Continuar.

3. Abra uma sessão do Cloud Shell e insira o comando abaixo. Em seguida, substitua [YOUR_BUCKET_NAME] pelo nome do bucket criado:

gsutil ls gs://[YOUR_BUCKET_NAME]

Você verá uma saída como esta:

gs://[YOUR_BUCKET_NAME]/sample.txt Observação: se você vir AccessDeniedException, espere um momento e execute o comando anterior novamente.

4. Você deu ao Nome de usuário 2 acesso para ver o bucket do Cloud Storage.

Clique em Verificar meu progresso para conferir o objetivo.

Adicione permissões do Cloud Storage

Parabéns!

Você aprendeu a conceder e revogar papéis do Cloud IAM para um usuário.

Próximas etapas / Saiba mais

Este laboratório também faz parte de uma série chamada Qwik Starts. Ela foi desenvolvida para apresentar os vários recursos disponíveis no Google Cloud. Pesquise "Qwik Starts" no catálogo do Google Cloud Ensina para encontrar algum laboratório que seja do seu interesse.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 26 de janeiro de 2024

Laboratório testado em 19 de setembro de 2023

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.