GSP064

Огляд

Сервіс Google Cloud для керування ідентифікацією і доступом (IAM) дає змогу створювати дозволи для ресурсів Google Cloud і керувати ними. Cloud IAM – це єдина система контролю доступу для сервісів Google Cloud з уніфікованим набором функцій.

У цій практичній роботі вам потрібно буде здійснити вхід за допомогою двох різних наборів облікових даних: як власник проекту Google Cloud і як користувач із правами перегляду. Так ви дізнаєтесь, як надавати й скасовувати дозволи для цих ролей.

Чого ви навчитесь

• Призначати ролі іншим користувачам
• Вилучати призначені ролі в Cloud IAM

Рівень попередньої підготовки

Це практична робота початкового рівня, тож для її виконання не обов’язково добре знатися на Cloud IAM. Досвід роботи з Cloud Storage також необов’язковий, однак може бути в пригоді під час виконання практичної роботи. Переконайтеся, що на вашому комп’ютері є файл у форматі .txt або .html. Щоб покращити навички роботи з Cloud IAM, виконайте практичну роботу Google Cloud Skills Boost із призначення спеціальних ролей в IAM.

Щойно ви будете готові, прокрутіть сторінку вниз і виконайте описані кроки, щоб налаштувати середовище для практичної роботи.

Налаштування для двох користувачів

Як зазначалося вище, у цій практичній роботі використовуються два набори облікових даних, щоб ознайомити вас із правилами роботи в IAM і дозволами, доступними для різних ролей.

Ліворуч на панелі Lab Connection (Підключення) у практичній роботі буде наведено такий список облікових даних:

Зверніть увагу, що вам доступні два облікові записи: Username 1 (Користувач 1) і Username 2 (Користувач 2). Вони представляють відповідні профілі в Cloud IAM із різними правами доступу. Кожна з таких "ролей" має власні обмеження щодо дій, які відповідний користувач може чи не може виконувати з ресурсами Google Cloud у призначених йому проектах.

Увійдіть у Cloud Console за допомогою першого набору облікових даних

1. Натисніть кнопку Open Google Console (Відкрити Google Console). Відкриється нова вкладка вебпереглядача. Якщо з’явиться вікно Choose an account (Вибір облікового запису), натисніть Use another account (Увійти в інший обліковий запис).
2. Відкриється сторінка входу в Google Cloud. Після цього скопіюйте облікові дані для профілю Username 1 (Користувач 1), які мають вигляд googlexxxxxx_student@qwiklabs.net, вставте їх у поле Email or phone (Електронна адреса чи номер телефону) на сторінці входу й натисніть Next (Далі).
3. Скопіюйте пароль, який указано на панелі Lab Connection (Підключення) і вставте його у відповідне поле на сторінці входу Google.
4. Натисніть Next (Далі), а потім Accept (Прийняти), щоб погодитися з Умовами використання. Відкриється Cloud Console. Надайте згоду на дотримання Умов використання й натисніть Agree and Continue (Прийняти й продовжити).

Увійдіть у Cloud Console за допомогою другого набору облікових даних

1. Знову натисніть кнопку Open Google Console (Відкрити Google Console). Відкриється нова вкладка вебпереглядача. Якщо на ній з’явиться вікно Choose an account (Вибір облікового запису), натисніть Use another account (Увійти в інший обліковий запис).
2. Відкриється сторінка входу в Google Cloud. Скопіюйте облікові дані для профілю Username 2 (Користувач 2), які мають вигляд googlexxxxxx_student@qwiklabs.net, вставте їх у поле Email or phone (Електронна адреса чи номер телефону) й натисніть Next (Далі).
3. Скопіюйте пароль, який указано на панелі Lab Connection (Підключення) і вставте його у відповідне поле на сторінці входу Google.
4. Натисніть Next (Далі), а потім Accept (Прийняти), щоб погодитися з Умовами використання. Відкриється Cloud Console. Надайте згоду на дотримання Умов використання й натисніть Agree and Continue (Прийняти й продовжити).

Тепер у вашому вебпереглядачі має бути відкрито дві вкладки Cloud Console: на одній ви ввійшли як Користувач 1, а на іншій – як Користувач 2.

Перегляньте профіль користувача на вкладці вебпереглядача або вийдіть із нього

Іноді профіль користувача на вкладці вебпереглядача може перезаписатись або ви можете забути, який з облікових записів використовується на кожній із вкладок.

Щоб дізнатися, котрий з облікових записів використовується на певній вкладці, наведіть курсор на зображення профілю, щоб побачити ім’я користувача.

Щоб вийти з профілю користувача на вкладці вебпереглядача, виконайте наведені нижче дії.

1. Натисніть зображення профілю й виберіть Sign out (Вийти).
2. На панелі Lab Connection (Підключення) натисніть Open Google Console (Відкрити Google Console) і ввійдіть ще раз, використовуючи правильне ім’я користувача й пароль.

Консоль IAM і ролі на рівні проекту

1. Поверніться на сторінку Cloud Console, де ви ввійшли як Username 1 (Користувач 1).
2. Виберіть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM. Відкриється консоль IAM & Admin (Адміністрування й керування ідентифікацією і доступом).
3. Угорі сторінки натисніть кнопку +GRANT ACCESS (+НАДАТИ ДОСТУП).
4. Прокрутіть сторінку вниз до опції Basic (Основні) і наведіть на неї курсор.

Є чотири типи ролей:

• користувач із правами пошуку;
• редактор;
• власник;
• користувач із правами перегляду.

Це базові ролі в Google Cloud. Вони надають певні дозволи на рівні проекту, а також контролюють можливості доступу й керування у всіх сервісах Google Cloud (якщо в налаштуваннях не вибрано інше).

У таблиці нижче наведено короткий опис базових ролей "Користувач із правами пошуку", "Користувач із правами перегляду", "Редактор" і "Власник", а також їх дозволів на основі інформації зі статті про Google Cloud IAM.

Назва ролі	Дозволи
Користувач із правами перегляду	Має дозволи лише для перегляду й дій, що не впливають на стан, наприклад перегляд наявних ресурсів або даних (без можливості змінювати їх).
Редактор	Має всі дозволи користувача з правами перегляду, а також може виконувати дії, що впливають на стан, наприклад змінювати наявні ресурси.
Власник	Має всі дозволи редактора, а також може: керувати ролями та дозволами для проекту й усіма ресурсами в ньому; налаштовувати платежі для проекту.
Користувач із правами пошуку	Має доступ для читання й може переглядати ієрархію проекту, зокрема дані папки й організації, а також правила Cloud IAM, однак не має дозволу на перегляд ресурсів проекту.

Оскільки ви можете керувати ролями й дозволами для цього проекту, Користувач 1 є власником.

4. Натисніть CANCEL (СКАСУВАТИ), щоб вийти з панелі Add principal (Додати учасника).

Огляд ролей редактора

Тепер перейдіть на вкладку з профілем Username 2 (Користувач 2).

1. Відкрийте консоль IAM & Admin (Адміністрування й керування ідентифікацією і доступом). Для цього натисніть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM.

2. У таблиці знайдіть облікові записи Username 1 (Користувач 1) і Username 2 (Користувач 2) й ознайомтеся з наданими їм ролями (їх наведено праворуч від кожного користувача).

Ви побачите, що:

• Користувач 2 має роль "Користувач із правами перегляду";
• кнопка +GRANT ACCESS (+НАДАТИ ДОСТУП) угорі затінена, тож якщо ви натиснете її, з’явиться повідомлення "You need permissions for this action. Required permission(s): resource manager.projects.setIamPolicy" ("Для виконання цієї дії потрібні відповідні дозволи, зокрема: resource manager.projects.setIamPolicy").

Це один із прикладів того, як ролі IAM впливають на ваші можливості в Google Cloud.

3. Щоб виконати наступні дії, поверніться на вкладку з профілем Username 1 (Користувач 1).

Підготуйте ресурс для тестування доступу

Переконайтеся, що ви ввійшли в Cloud Console як Username 1 (Користувач 1).

Створіть сегмент

1. Створіть сегмент Cloud Storage з унікальною назвою. У Cloud Console виберіть меню навігації > Cloud Storage > Buckets (Сегменти).

2. Натисніть +CREATE (+СТВОРИТИ).

Примітка. Якщо ви отримали повідомлення про помилку дозволів для створення сегмента, вийдіть і ввійдіть знову за допомогою облікових даних Користувача 1.

3. Заповніть перелічені нижче поля, а всі інші залиште без змін.

Властивість	Значення
Назва:	укажіть глобально унікальну назву (придумайте її самостійно!) і натисніть CONTINUE (ПРОДОВЖИТИ).
Тип місцезнаходження:	Multi-Region (Мультирегіон)

Запам’ятайте назву семента. Вона знадобиться пізніше.

4. Натисніть CREATE (СТВОРИТИ).

Примітка. Якщо ви отримали повідомлення про помилку дозволів для створення сегмента, вийдіть і ввійдіть знову за допомогою облікових даних Користувача 1.

Завантажте тестовий файл

1. На сторінці інформації про сегмент натисніть UPLOAD FILES (ЗАВАНТАЖИТИ ФАЙЛИ).

2. Виберіть потрібний файл на комп’ютері (підійте будь-який файл у форматі .txt або .html).

3. Натисніть значок із трьома крапками в кінці рядка файлу й виберіть Rename (Перейменувати).

4. Змініть назву файлу на "sample.txt".

5. Натисніть RENAME (ПЕРЕЙМЕНУВАТИ).

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання.

Створіть сегмент і завантажте тестовий файл

Перевірте доступ для користувача з правами перегляду для проекту

1. Перейдіть на вкладку з профілем Username 2 (Користувач 2).

2. У Cloud Console виберіть меню навігації > Cloud Storage > Buckets (Сегменти). Переконайтеся, що цей користувач бачить створений сегмент.

Користувач 2 має роль "Користувач із правами перегляду", тобто дозволи лише для читання й дій, що не впливають на стан. Цей приклад показує, як користувач може переглядати сегменти й файли Cloud Storage у проекті Google Cloud, до якого має доступ.

Скасуйте доступ до проекту

Перейдіть на вкладку з профілем Username 1 (Користувач 1).

Скасуйте дозвіл на перегляд проекту для користувача 2

1. Виберіть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM. Потім натисніть значок олівця праворуч від облікового запису Username 2 (Користувач 2).

Примітка. Можливо, знадобиться розширити екран, щоб побачити значок олівця.

2. Вилучіть дозвіл на перегляд проекту для облікового запису Username 2 (Користувач 2), натиснувши значок кошика поруч із назвою ролі, а потім виберіть SAVE (ЗБЕРЕГТИ).

Зверніть увагу, що після цього користувач зникне зі списку учасників і більше не матиме доступу до проекту.

Примітка. Цю зміну буде застосовано протягом 80 секунд. Щоб дізнатися більше про Google Cloud IAM, перегляньте відповіді на поширені запитання в документації ресурсів.

Переконайтеся, що користувач 2 більше не має доступу

1. Перейдіть на вкладку з профілем Username 2 (Користувач 2) у Cloud Console. Переконайтеся, що профіль з обліковими даними користувача 2 досі активний, і що після скасування дозволів ви не вийшли з проекту (в іншому разі вам потрібно буде ввійти знову, використовуючи відповідні облікові дані).

2. Поверніться в Cloud Storage, вибравши меню навігації > Cloud Storage > Buckets (Сегменти).

Має з’явитися повідомлення про помилку дозволу.

Примітка. Як зазначалося раніше, дозволи буде скасовано впродовж 80 секунд. Якщо повідомлення про помилку не з’явилося, зачекайте 2 хвилини й оновіть сторінку.

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання.

Скасуйте доступ до проекту

Додайте дозволи для Cloud Storage

1. Скопіюйте логін Username 2 (Користувач 2) з панелі Lab Connection (Підключення).

2. Перейдіть на вкладку з профілем Username 1 (Користувач 1). Переконайтеся, що профіль з обліковими даними користувача 1 досі активний (в іншому разі вам потрібно буде ввійти знову , використовуючи відповідні облікові дані).

3. Виберіть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM (Керування ідентифікацією і доступом).

4. Натисніть кнопку +GRANT ACCESS (+НАДАТИ ДОСТУП) і вставте скопійований логін Username 2 (Користувач 2) у поле New principals (Нові учасники).

5. У полі Select a role (Вибрати роль) зі спадного меню виберіть Cloud Storage > Storage Object Viewer (Користувач із правами перегляду об’єктів Cloud Storage).

6. Натисніть SAVE (ЗБЕРЕГТИ).

Перевірте наявність доступу

1. Перейдіть на вкладку з профілем Username 2 (Користувач 2). На ній досі має бути відкрито сторінку Cloud Storage.

Користувач Username 2 (Користувач 2) не має дозволу на перегляд проекту, тож не зможе відкрити ані цей проект, ані жоден із його ресурсів у Cloud Console. Однак у нього є спеціальні права доступу – роль користувача з правами перегляду об’єктів Cloud Storage. Давайте перевіримо її.

2. Натисніть Activate Cloud Shell (Активувати Cloud Shell) , щоб відкрити командний рядок Cloud Shell. За потреби натисніть Continue (Продовжити).

3. Почніть сеанс у Cloud Shell і введіть наведену нижче команду, замінивши фрагмент [YOUR_BUCKET_NAME] на назву створеного раніше сегмента.

gsutil ls gs://[YOUR_BUCKET_NAME]

З’явиться схожий результат:

gs://[YOUR_BUCKET_NAME]/sample.txt Примітка. У разі появи повідомлення AccessDeniedException зачекайте кілька хвилин і виконайте команду ще раз.

4. Як бачите, користувачу Username 2 (Користувач 2) було надано дозвіл на перегляд сегмента Cloud Storage.

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання.

Додайте дозволи для Cloud Storage

Вітаємо!

Під час цієї практичної роботи ви навчилися надавати й скасовувати ролі користувачів у Cloud IAM.

Наступні кроки/Докладніше

Це завдання також входить до низки практичних робіт під назвою Qwik Starts. Вони призначені для ознайомлення з функціями Google Cloud. Такі практичні роботи можна знайти в каталозі Google Cloud Skills Boost за запитом "Qwik Starts".

Навчання й сертифікація Google Cloud

…допомагають ефективно використовувати технології Google Cloud. Наші курси передбачають опанування технічних навичок, а також ознайомлення з рекомендаціями, що допоможуть вам швидко зорієнтуватися й вивчити матеріал. Ми пропонуємо курси різних рівнів – від базового до високого. Ви можете вибрати формат навчання (за запитом, онлайн або офлайн) відповідно до власного розкладу. Пройшовши сертифікацію, ви перевірите й підтвердите свої навички та досвід роботи з технологіями Google Cloud.

Посібник востаннє оновлено 26 січня 2024 року

Практичну роботу востаннє протестовано 19 вересня 2023 року

© Google LLC 2024. Усі права захищено. Назва та логотип Google є торговельними марками Google LLC. Усі інші назви компаній і продуктів можуть бути торговельними марками відповідних компаній, з якими вони пов’язані.