Checkpoints
Create a custom role
/ 50
Grant a role to a user
/ 50
Criar um papel no Google Cloud IAM
Conclua este laboratório prático usando um computador ou notebook.
Só 5 tentativas são permitidas por laboratório.
É comum não acertar todas as questões na primeira tentativa e precisar refazer uma tarefa. Isso faz parte do processo de aprendizado.
Depois que o laboratório é iniciado, não é possível pausar o tempo. Depois de 1h30, o laboratório será finalizado, e você vai precisar recomeçar.
Para saber mais, confira as Dicas técnicas do laboratório.
Informações gerais da atividade
O IAM, ou Identity and Access Management, é um conjunto de processos e tecnologias que ajudam as organizações a gerenciar identidades digitais no ambiente delas. Com o IAM, o controle de acesso é gerenciado definindo a identidade dos usuários e os papéis deles em relação aos recursos disponíveis. As permissões de acesso a recursos não são concedidas diretamente a usuários individuais. Em vez disso, os usuários recebem papéis que são atribuídos a principais autenticados. Ainda que o termo "membros" tenha sido usado no passado, o IAM atualmente se refere a essas pessoas como principais. Algumas APIs ainda usam a terminologia antiga. Há três tipos de papéis do IAM no Google Cloud:
-
Papéis básicos: papéis historicamente disponíveis no console do Google Cloud. Esses papéis são Proprietário, Editor e Leitor.
-
Papéis predefinidos: oferecem um controle de acesso mais preciso que os papéis básicos. Por exemplo, o papel predefinido de Publicador do Pub/Sub (roles/pubsub.publisher) só concede acesso para publicar mensagens em um tópico do Cloud Pub/Sub.
-
Papéis personalizados: podem ser criados para adaptar as permissões às necessidades da sua organização que não são atendidas pelos papéis predefinidos.
Neste laboratório, você vai aprender a criar e gerenciar papéis personalizados do Identity and Access Management (IAM).
Cenário
O Cymbal Bank, como parte de um plano de migração, está implantando gradualmente seus fluxos de trabalho na nuvem. Uma dessas implantações inclui um banco de dados que armazena dados sensíveis de faturamento dos clientes. Antes que o banco de dados possa ser implantado, ele tem que passar por uma auditoria externa abrangente. Os auditores precisam de acesso ao banco de dados para concluir a auditoria. Eles precisam receber as permissões necessárias para realizar seus respectivos trabalhos. Chloe, sua líder de equipe, encarregou você de usar o IAM para implementar o controle de acesso a esse banco de dados para o grupo de auditoria.
O IAM é um componente fundamental da segurança na nuvem que terá um papel crucial na sua tarefa. Integrantes da equipe de auditoria vão precisar de papéis designados com acesso restrito, exclusivamente para visualização e listagem do conteúdo do banco de dados. Sua tarefa, como descrito pela líder da equipe, envolve a configuração precisa do acesso do usuário para fins de cumprimento de requisitos rigorosos.
Saiba como fazer isso: primeiro você vai criar um papel e atribuir as permissões exigidas. Em seguida, você vai atribuir o papel recém-criado a um usuário. Por fim, você vai verificar se o papel criado foi atribuído.
Configuração
Antes de clicar em "Começar o laboratório"
Leia as instruções a seguir. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.
Neste laboratório prático, você pode fazer as atividades por conta própria em um ambiente cloud de verdade, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.
Confira os requisitos para concluir o laboratório:
- Acesso a um navegador de Internet padrão (recomendamos o Chrome).
- Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.
Como iniciar seu laboratório e fazer login no console do Google Cloud
-
Clique no botão Começar o laboratório. No painel Detalhes do laboratório à esquerda, você verá o seguinte:
- Tempo restante
- O botão Abrir console do Google Cloud
- As credenciais temporárias que você vai usar neste laboratório
- Outras informações, se forem necessárias
Observação: se for preciso pagar pelo laboratório, um pop-up vai aparecer para você escolher a forma de pagamento. -
Se você estiver usando o navegador Chrome, clique em Abrir console do Cloud (ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima). A página de login do laboratório será aberta em uma nova guia do navegador.
Dica: é possível organizar as guias em janelas separadas, lado a lado, para alternar facilmente entre elas.
Observação: se a caixa de diálogo Escolha uma conta aparecer, clique em Usar outra conta. -
Se necessário, copie o Nome de usuário 1 do Google Cloud abaixo e cole na caixa de diálogo de login. Clique em Próximo.
Você também encontra o Nome de usuário 1 do Google Cloud no painel Detalhes do laboratório.
- Copie a Senha do Google Cloud abaixo e cole na caixa de diálogo de boas-vindas. Clique em Próximo.
Você também encontra a Senha do Google Cloud no painel Detalhes do laboratório.
- Nas próximas páginas:
- Aceite os Termos e Condições
- Não adicione opções de recuperação nem autenticação de dois fatores nesta conta temporária
- Não se inscreva em testes gratuitos
Depois de alguns instantes, o console do Cloud será aberto nesta guia.
Tarefa 1: criar um papel personalizado
Aplicar o princípio de privilégio mínimo é fundamental para o IAM. Ele garante que os usuários recebam apenas as permissões necessárias para executar as tarefas deles. Papéis personalizados fornecem uma maneira de adaptar as permissões às necessidades de uma organização, garantindo que elas não sejam amplas e excessivas para os usuários.
Nesta tarefa, você vai criar um papel personalizado para a equipe de auditoria da Cymbal. Em seguida, você vai conceder ao papel personalizado acesso restrito para visualizar o conteúdo do banco de dados.
-
No console do Google Cloud, no menu de navegação (), clique em IAM e administrador > Papéis. A página Papéis é aberta.
-
Na barra Explorador, próxima à parte de cima da página Papéis, clique em + Criar papel.
-
Na caixa de diálogo Criar papel, especifique as configurações a seguir e deixe todas as configurações restantes como padrão:
Propriedade | Valor (digite ou selecione) |
---|---|
Cargo | Revisor da equipe de auditoria |
Descrição | Papel personalizado que permite que a equipe de auditoria conduza atividades de revisão. Esse papel concede acesso somente leitura aos recursos de bancos de dados do Firebase. |
ID | CustomRole |
Etapa da criação do papel | Disponibilidade geral |
Cada papel personalizado pode receber uma etapa da criação do papel que reflete as diferentes fases de desenvolvimento, teste e implantação de um papel. Essas etapas ajudam os usuários a entender o estado atual de um papel e a adequação dele para vários casos de uso.
Há diversas etapas de lançamento no Google Cloud. As três etapas principais de lançamento de papéis que você precisa saber são:
Alfa: papéis na etapa Alfa geralmente são experimentais e podem sofrer mudanças significativas. Eles não são recomendados para ambientes de produção. Os usuários podem fornecer feedback sobre as funções alfa para influenciar o desenvolvimento delas.
Beta: papéis na etapa Beta são mais maduros do que aqueles na Alfa, mas ainda podem passar por atualizações e melhorias com base no feedback do usuário. Eles são considerados adequados para certos cenários de não produção, mas podem não ser totalmente estáveis.
Disponibilidade geral (GA): os papéis que alcançam a disponibilidade geral já concluíram as fases de desenvolvimento, teste e refinamento. Eles são considerados estáveis, confiáveis e adequados para uso generalizado em ambientes de produção. Os papéis de GA foram revisados de forma ampla e têm como objetivo apresentar um comportamento consistente e confiável.
-
Clique em + Adicionar permissões. A caixa de diálogo Adicionar permissões é aberta.
-
No campo Filtrar permissões por papel, digite Firebase Realtime.
-
No campo de menu suspenso de resultados, marque a caixa de seleção Leitor do Firebase Realtime Database.
-
Clique em OK.
-
Em Filtro, marque as caixas de verificação firebase.clients.list e firebasedatabase.instances.list para adicionar essas permissões ao papel personalizado.
-
Clique em Adicionar.
-
Na caixa de diálogo Criar papel, clique em Criar.
Agora o novo papel foi criado e adicionado aos papéis do projeto.
Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente.
Tarefa 2: atribuir um papel a um usuário
Nesta tarefa, você vai atribuir um papel personalizado criado na Tarefa 1 a um usuário.
-
No console do Google Cloud, no menu de navegação (), clique em IAM e administrador > IAM. A página IAM será aberta.
-
Na guia Visualizar por principais, clique em Permitir acesso. A janela de diálogo Permitir acesso será aberta.
A caixa de diálogo Permitir acesso é um componente crucial do sistema IAM no Google Cloud. Nela é possível definir e gerenciar com precisão as permissões para usuários, grupos e contas de serviço.
- Copie nome de usuário 2 do Google Cloud:
e cole no campo Novos principais.
- Expanda o menu suspenso Selecionar papel, clique em Personalizado e depois em Revisor da equipe de auditoria. Esse é o papel que você criou na tarefa anterior.
- Clique em Salvar.
Agora o papel personalizado foi atribuído ao usuário.
Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente.
Tarefa 3: verificar o papel
Você já criou um papel personalizado com as permissões apropriadas e o atribuiu a um usuário. Agora você vai conferir seu próprio trabalho para verificar se o usuário recebeu o papel criado. Garantir que as configurações foram definidas corretamente é uma parte integral do fluxo de trabalho dos analistas de segurança na nuvem.
Nesta tarefa, você vai usar a ferramenta Análise de políticas do Google Cloud para criar uma consulta e verificar os papéis atribuídos ao usuário.
-
No console do Google Cloud, no menu de navegação (), clique em IAM e administrador > Análise de políticas. A página Análise de políticas é aberta.
-
Na seção Analisar políticas, no bloco Consulta personalizada, clique em Criar consulta personalizada. Um pop-up pode aparecer no canto superior esquerdo do menu do Google Cloud () com o texto "Clique no menu a qualquer momento para encontrar soluções para sua empresa". Clique em Entendi e prossiga para a próxima etapa.
-
Na seção Definir os parâmetros de consulta, expanda o menu suspenso Parâmetro 1 e selecione Principal.
-
Copie nome de usuário 2 do Google Cloud:
e cole no campo Principal.
-
Clique em Continuar.
-
Na seção Opções avançadas para resultados de consulta, marque a caixa de seleção Listar recursos nos recursos correspondentes à consulta.
-
Clique em Analisar e depois selecione Executar consulta no menu suspenso.
Os resultados devem retornar o papel atribuído ao usuário. Use-os para responder a(s) pergunta(s) abaixo.
Conclusão
Bom trabalho! Você utilizou o IAM para criar um papel personalizado, conceder acesso a um usuário para o papel e verificar as permissões no Google Cloud. A equipe de auditoria do Cymbal Bank já pode começar a trabalhar na auditoria do banco de dados usando o papel personalizado que você criou.
O IAM define quem tem acesso a quais recursos com base nos papéis. Ele é fundamental para gerenciar identidades digitais no ambiente de uma organização e será uma parte fundamental do seu trabalho como analista de segurança em nuvem.
Usando os serviços do IAM, você vai estar no caminho certo para gerenciar efetivamente o acesso e as permissões aos recursos de armazenamento.
Finalize o laboratório
Antes de encerrar o laboratório, certifique-se de que você concluiu todas as tarefas. Quando tudo estiver pronto, clique em Terminar o laboratório e depois em Enviar.
Depois que você finalizar um laboratório, não será mais possível acessar o ambiente do laboratório nem o trabalho que você concluiu nele.
Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos podem ser marcas registradas das empresas a que estão associados.