Como profissional da nuvem, talvez você já conheça a arquitetura do Identity and Access Management (IAM) do Azure e tenha experiência em seguir algumas das práticas recomendadas para ele. Em relação ao IAM, algumas das preocupações gerais são as seguintes:

• Quais as melhores formas de gerenciar o acesso a recursos?
• Como você pode conceder aos usuários acesso apenas às ferramentas de que eles realmente precisam?

No Azure, sua organização usa uma combinação do IAM, do Azure Active Directory (Azure AD), de usuários e de papéis com políticas anexadas para controlar o acesso a diferentes contas da plataforma.

O Azure AD é um serviço de gerenciamento de identidades e diretórios baseado na nuvem e com vários locatários. Ele oferece controle de acesso e gerenciamento para os recursos do Azure.

Agora, você verá como implementar o controle do IAM no Google Cloud.

Informações gerais

Neste laboratório, você aprenderá a usar o papel de usuário da conta de serviço e a atribuir papéis.

Objetivos

Neste laboratório, você aprenderá a fazer o seguinte:

• Usar o IAM para implementar o controle de acesso.
• Restringir o acesso a recursos específicos.
• Usar o papel de usuário da conta de serviço.

Configuração do laboratório

Para cada laboratório, você recebe um novo projeto do Google Cloud e um conjunto de recursos por um determinado período sem custo financeiro.

1. Clique no botão Começar o laboratório. Se for preciso pagar, você verá um pop-up para selecionar a forma de pagamento. No painel Detalhes do laboratório à esquerda, você vai encontrar o seguinte:

   • O botão Abrir console do Google Cloud
   • O tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

   O laboratório ativa os recursos e depois abre a página Fazer login em outra guia.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

   {{{user_0.username | "Nome de usuário"}}}

   Você também encontra o Nome de usuário no painel Detalhes do laboratório.

4. Clique em Seguinte.

5. Copie a Senha abaixo e cole na caixa de diálogo de boas-vindas.

   {{{user_0.password | "Senha"}}}

   Você também encontra a Senha no painel Detalhes do laboratório.

6. Clique em Seguinte.

   Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

7. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: para acessar uma lista de produtos e serviços do Google Cloud, clique no Menu de navegação no canto superior esquerdo ou digite o nome do serviço ou produto no campo Pesquisar.

Tarefa 1. Configurar dois usuários

Faça login no console do Cloud como o primeiro usuário

1. Neste laboratório, disponibilizamos dois nomes de usuário na caixa de diálogo Detalhes da conexão. Como de costume, faça login no console do Cloud em uma janela anônima com o Nome de usuário 1 incluído no Qwiklabs. A senha é a mesma para os dois nomes de usuário.

Faça login no console do Cloud como o segundo usuário

1. Abra outra guia na janela anônima.
2. Acesse console.cloud.google.com.
3. Clique no ícone do usuário no canto superior direito da tela e depois em Adicionar conta.
4. Faça login no console do Cloud com o Nome de usuário 2 incluído no Qwiklabs.

Observação: se você sair da conta do Nome de usuário 1 em algum momento durante o laboratório, a conta do Nome de usuário 2 será excluída pelo Qwiklabs. Então, mantenha a conta do Nome de usuário 1 conectada enquanto você precisar do Nome de usuário 2.

Tarefa 2. Explorar o console do IAM

Você precisa estar na guia do console do Cloud com o Nome de usuário 1.

Acesse o console do IAM e conheça os papéis

1. No Menu de navegação (), clique em IAM e admin > IAM.
2. Clique em Permitir acesso e confira os papéis no menu suspenso. Para visualizar os papéis associados a cada recurso, navegue até o menu Papéis.
3. Clique em CANCELAR.
4. Mude para a guia com o Nome de usuário 2 no console do Cloud.
5. No Menu de navegação (), clique em IAM e admin > IAM. Na lista, procure as linhas com o Nome de usuário 1 e o Nome de usuário 2 que estão na caixa de diálogo Detalhes da conexão do Qwiklabs.

Observação: o Nome de usuário 2 tem acesso ao projeto, mas não tem o papel de proprietário. Por isso, ele não pode editar nenhum dos papéis. Passe o cursor sobre o ícone de lápis do Nome de usuário 2 para confirmar isso.

6. Volte para a guia com o Nome de usuário 1 do console do Cloud.
7. No console do IAM, clique no ícone de lápis do Nome de usuário 2. O Nome de usuário 2 tem o papel Leitor. Não altere o papel do projeto.
8. Clique em CANCELAR.

Tarefa 3. Preparar um recurso para teste de acesso

Crie um bucket e faça upload de um arquivo qualquer

1. Mude para a guia com o Nome de usuário 1 do console do Cloud se ainda não tiver feito isso.

2. No Menu de navegação (), clique em Cloud Storage > Buckets.

3. Clique em Criar bucket.

4. Especifique os seguintes valores e não mexa nas configurações restantes:

Propriedade	Valor (digite o valor ou selecione a opção conforme especificado)
Nome	Digite um nome globalmente exclusivo
Tipo de local	Multirregional

Observação: anote o nome do bucket, porque ele será usado em uma etapa posterior como [YOUR_BUCKET_NAME]

5. Clique em CRIAR.

Observação: se o prompt O acesso público será bloqueado aparecer para você e a opção Aplicar a prevenção do acesso público neste bucket estiver marcada, clique em Confirmar.

6. Selecione ENVIAR ARQUIVOS.
7. Faça upload de qualquer arquivo na sua máquina local.
8. Depois disso, clique nos três pontos à direita na linha do arquivo e selecione Renomear.
9. Renomeie o arquivo como sample.txt e clique em RENOMEAR.

Selecione Verificar meu progresso para ver o objetivo. Crie um bucket e faça upload de uma amostra de arquivo

Confirme o acesso como visualizador do projeto

1. Mude para a guia com o Nome de usuário 2 no console do Cloud.

2. No console, acesse Menu de navegação > Cloud Storage > Buckets.

3. Verifique se o bucket está visível para o Nome de usuário 2.

Tarefa 4. Remover o acesso ao projeto

Remova o papel de visualizador do projeto do Nome de usuário 2

1. Mude para a guia com o Nome de usuário 1 no console do Cloud.
2. No Menu de navegação (), clique em IAM e admin > IAM.
3. Selecione o Nome de usuário 2 e clique em Remover acesso.

Observações: confira se você está removendo o acesso do Nome de usuário 2, e não de outro usuário. Se você remover acidentalmente o acesso do Nome de usuário 1, precisará reiniciar este laboratório.

4. Para concluir, clique em CONFIRMAR.

Note que o usuário foi excluído da lista e, portanto, não tem mais acesso ao projeto.

Selecione Verificar meu progresso para ver o objetivo. Remova o acesso ao projeto

Verifique se o Nome de usuário 2 teve o acesso removido

1. Mude para a guia com o Nome de usuário 2 no console do Cloud.

2. No Menu de navegação (), clique em Visão geral do Cloud > Painel.

3. No Menu de navegação (), clique em Cloud Storage > Buckets. Um erro vai aparecer. Se isso não ocorrer, atualize a página. O Nome de usuário 2 ainda tem uma conta do Google Cloud, mas não tem acesso ao projeto.

Tarefa 5. Incluir acesso de armazenamento

Adicione permissões de armazenamento

1. Copie o valor do Nome de usuário 2 da caixa de diálogo Detalhes da conexão do Qwiklabs.
2. Mude para a guia com o Nome de usuário 1 no console do Cloud.
3. No Menu de navegação (), clique em IAM e admin > IAM.
4. Clique em Permitir acesso para adicionar um usuário.
5. Em Novos principais, cole o valor do Nome de usuário 2 que você copiou da caixa de diálogo Detalhes da conexão do Qwiklabs.
6. Em Selecionar papel, selecione Cloud Storage > Leitor de objetos do Storage.
7. Clique em SALVAR.

Selecione Verificar meu progresso para ver o objetivo. Adicione permissões de armazenamento

Verifique se o Nome de usuário 2 tem acesso ao armazenamento

1. Mude para a guia com o Nome de usuário 2 no console do Cloud.

Observação: o Nome de usuário 2 não tem o papel Leitor do projeto. Por isso, ele não pode ver o projeto nem os recursos associados no console. No entanto, o usuário tem acesso específico ao Cloud Storage.

2. Para iniciar o Cloud Shell, clique em Ativar Cloud Shell (). Se for solicitado, clique em Continuar.
3. Para visualizar o conteúdo do bucket criado anteriormente, execute o seguinte comando, substituindo [YOUR_BUCKET_NAME] pelo nome exclusivo do bucket do Cloud Storage que você criou:

gcloud storage ls gs://[YOUR_BUCKET_NAME]

Como você pode ver, o Nome de usuário 2 tem acesso limitado ao Cloud Storage.

4. Feche a guia do Nome de usuário 2 do console do Cloud. Você usará a guia do Nome de usuário 1 no restante do laboratório.
5. Mude para a guia com o Nome de usuário 1 no console do Cloud.

Tarefa 6. Configurar o usuário da conta de serviço

Nesta parte do laboratório, você atribuirá permissões restritas a contas de serviço e aprenderá a usar o papel de usuário da conta de serviço.

Crie uma conta de serviço

1. No Menu de navegação (), clique em IAM e admin > Contas de serviço.
2. Clique em + CRIAR CONTA DE SERVIÇO.
3. Especifique o Nome da conta de serviço como read-bucket-objects.
4. Clique em CRIAR E CONTINUAR.
5. Em Selecionar papel, selecione Cloud Storage > Leitor de objetos do Storage.
6. Clique em CONTINUAR.
7. Selecione CONCLUÍDO.

Adicione o usuário à conta de serviço

1. Selecione a conta de serviço read-bucket-objects.
2. Clique nos três pontos à direita do nome da conta de serviço. Depois selecione Gerenciar permissões.

Observação: você concederá a alguém o papel de usuário da conta de serviço. Assim, se essa pessoa tiver acesso a uma VM, poderá usar a conta de serviço nela. Você pode fazer isso para um usuário, um grupo ou um domínio específico. Neste treinamento, você concederá o papel de usuário da conta de serviço a todos os funcionários da Altostrat.com, uma empresa fictícia usada para demonstração.

3. Clique no botão CONCEDER ACESSO. Especifique o seguinte e não mude as outras configurações:

Propriedade	Valor (digite o valor ou selecione a opção conforme especificado)
Novos principais	altostrat.com
Papel	Contas de serviço > Usuário da conta de serviço

4. Clique em SALVAR.

Conceda acesso ao Compute Engine

Agora você concederá o papel de administrador do Compute Engine a toda a organização Altostrat.

1. No Menu de navegação (), clique em IAM e admin > IAM.
2. Clique em Permitir acesso.
3. Especifique o seguinte e não mude as outras configurações:

Propriedade	Valor (digite o valor ou selecione a opção conforme especificado)
Novos principais	altostrat.com
Selecionar papel	Compute Engine > Administrador da instância do Compute (v1)

4. Clique em SALVAR.

Observação: esta etapa também é válida para atribuir papéis a um usuário específico. Esta ação fornece ao usuário acesso limitado em uma instância de VM. Assim, ele poderá se conectar via SSH a uma VM e realizar algumas tarefas de administração.

Crie uma VM com o usuário da conta de serviço

1. No Menu de navegação (), clique em Compute Engine > Instâncias de VM.
2. Clique em CRIAR INSTÂNCIA.
3. Especifique o seguinte e não mude as outras configurações:

Propriedade	Valor (digite o valor ou selecione a opção conforme especificado)
Nome	demoiam
Região
Zona
Série	E2
Tipo de máquina	e2-micro (2 vCPUs, 1 GB de memória)
Disco de inicialização	Debian GNU/Linux 11 (bullseye)
Conta de serviço	read-bucket-objects
Escopos de acesso	Definir acesso para cada API
Armazenamento	Leitura e gravação

4. Clique em Criar.

Selecione Verificar meu progresso para ver o objetivo. Configure o usuário da conta de serviço e crie uma VM

Tarefa 7. Conhecer o papel de usuário da conta de serviço

Agora você pode fazer com que o usuário teste o acesso conectando-se via SSH à VM e realizando as próximas ações. Como proprietário do projeto, você já tem o papel de usuário da conta de serviço. Assim, usando apenas SSH para acessar a VM no console do Cloud, você pode simular a experiência do usuário.

Você vai realizar as mesmas ações e ver os mesmos resultados que o usuário-alvo.

Use o usuário da conta de serviço

1. Em demoiam, clique em SSH para iniciar um terminal e conectar.
2. Execute este comando:

gcloud compute instances list

Resultado (exemplo de saída):

ERROR: (gcloud.compute.instances.list) Some requests did not succeed: - Required 'compute.zones.list' permission for 'projects/qwiklabs-gcp'

O que aconteceu? Por quê?

3. Copie o arquivo sample.txt do bucket criado anteriormente. O ponto final faz parte do comando abaixo. Ele significa "copiar para este local":

gcloud storage cp gs://[YOUR_BUCKET_NAME]/sample.txt .

Resultado (exemplo de saída):

Copying gs://train-test-iam/sample.txt... / [1 files][ 28.0 B/ 28.0 B] Operation completed over 1 objects/28.0 B.

4. Para renomear o arquivo copiado, execute o seguinte comando:

mv sample.txt sample2.txt

5. Para copiar o arquivo renomeado de volta para o bucket, execute o seguinte comando:

gcloud storage cp sample2.txt gs://[YOUR_BUCKET_NAME]

Resultado (exemplo de saída):

AccessDeniedException: 403 Caller does not have storage.objects.create access to bucket train-test-iam. Observação: o que aconteceu? Por ter se conectado à instância via SSH, você tem basicamente as mesmas permissões que a conta de serviço. A conta de serviço em que a instância foi iniciada tinha o papel de leitor de armazenamento, que permite fazer o download de objetos dos buckets do GCS no projeto. Para listar as instâncias em um projeto, você precisa conceder a permissão compute.instance.list. Como a conta de serviço não tinha essa permissão, não foi possível listar as instâncias em execução no projeto. Como a conta de serviço tinha permissão para fazer o download de objetos, foi possível realizar essa ação com um objeto do bucket. A conta não tinha permissão para gravar objetos, então você recebeu a mensagem 403 access denied.

6. No Menu de navegação (), clique em IAM e admin > IAM.
7. Navegue pela lista para encontrar as linhas com read-bucket-objects e clique no ícone de lápis. read-bucket-objects atualmente tem o papel Leitor de objetos do Storage. Altere o Papel para Cloud Storage > Criador de objetos do Storage.
8. Clique em Salvar.
9. Volte para a janela SSH de demoiam.
10. Para copiar o arquivo renomeado de volta para o bucket, execute o seguinte comando:

gcloud storage cp sample2.txt gs://[YOUR_BUCKET_NAME]

Desta vez, o comando terá êxito porque a conta de serviço tem as permissões corretas.

Tarefa 8. Revisar

Neste laboratório, você aprendeu a conceder e revogar papéis do IAM, primeiro para o Nome de usuário 2 e depois para um usuário da conta de serviço. Você alocou as credenciais do usuário da conta de serviço e as integrou em uma VM para criar Bastion Hosts autorizados para fins específicos.

Resumo

Tanto no Azure quanto no Google Cloud, o IAM é um serviço da Web que pode ajudar você a controlar com segurança o acesso a diferentes serviços e recursos. Use essa ferramenta para gerenciar a autenticação (quem tem acesso) e a autorização (o que cada usuário pode fazer).

Também é possível criar e gerenciar diferentes principais, como:

• Usuários
• Papéis
• Políticas

O Cloud IAM e o Azure AD têm muitas semelhanças na forma como operam. Os dois sistemas têm vários recursos, como controle de acesso baseado em papéis, autenticação multifator e gerenciamento de usuários, que ajudam a manter sua infraestrutura em nuvem segura. Você pode delegar tarefas administrativas e controlar o acesso aos recursos com políticas granulares nos dois sistemas.

Também existem algumas diferenças. O Google Cloud IAM tem uma interface do usuário intuitiva e direta. O Azure AD usa recursos como acesso condicional e logon único integrado com outros aplicativos.

Finalize o laboratório

Clique em Terminar o laboratório após a conclusão. O Google Cloud Ensina remove os recursos usados e limpa a conta por você.

Você vai poder avaliar sua experiência no laboratório. Basta selecionar o número de estrelas, digitar um comentário e clicar em Enviar.

O número de estrelas indica o seguinte:

• 1 estrela = muito insatisfeito
• 2 estrelas = insatisfeito
• 3 estrelas = neutro
• 4 estrelas = satisfeito
• 5 estrelas = muito satisfeito

Feche a caixa de diálogo se não quiser enviar feedback.

Para enviar seu feedback, fazer sugestões ou correções, use a guia Suporte.

Copyright 2020 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.