Prüfpunkte
Create a bucket and upload a sample file
/ 20
Remove project access
/ 40
Add Storage permissions
/ 40
Cloud IAM: Qwik Start
GSP064
Überblick
Mit dem Dienst Cloud Identity and Access Management (Cloud IAM) von Google können Sie Berechtigungen für Ressourcen in Google Cloud erstellen und verwalten. Cloud IAM vereint die Zugriffssteuerung für Google Cloud-Dienste in einem einzigen System und sorgt so für eine einheitliche Berechtigungsverwaltung.
In diesem Lab melden Sie sich mit zwei Kombinationen aus Anmeldedaten an, um zu erfahren, wie Berechtigungen für die Rollen „Google Cloud Project Owner“ und „Viewer“ gewährt und aufgehoben werden.
Lerninhalte
- Einem zweiten Nutzer eine Rolle zuweisen
- In Cloud IAM zugewiesene Rollen entfernen
Vorbereitung
Dies ist ein Einführungs-Lab. Es werden keine oder nur wenige Vorkenntnisse in Cloud IAM vorausgesetzt. Erfahrung mit Cloud Storage ist von Vorteil, jedoch nicht erforderlich, um die Aufgaben auszuführen. Sie benötigen für das Lab eine Datei mit der Endung .txt oder .html. Eine weiterführende Übung zu Cloud IAM finden Sie im Google Cloud Skills Boost-Lab Benutzerdefinierte IAM-Rollen.
Sind Sie bereit? Im Folgenden finden Sie die Schritte zum Einrichten Ihrer Lab-Umgebung.
Einrichtung und Anforderungen
Wie bereits erläutert, werden bei diesem Lab zwei Kombinationen aus Anmeldedaten verwendet, um IAM-Richtlinien und mögliche Berechtigungen für bestimmte Rollen zu veranschaulichen.
Im Bereich Lab Connection links im Lab sehen Sie Anmeldedaten, die in etwa folgendem Format entsprechen:
Es gibt zwei Nutzernamen: „Username 1“ und „Username 2“. Sie stehen für Identitäten in Cloud IAM, jede mit unterschiedlichen Zugriffsberechtigungen. Diese „Rollen“ legen fest, was Sie in Ihrem zugewiesenen Projekt mit den Ressourcen von Google Cloud tun können und was nicht.
Als erster Nutzer in der Cloud Console anmelden
- Klicken Sie auf Google Console öffnen. Ein neuer Browsertab wird geöffnet. Wenn die Eingabeaufforderung Konto auswählen angezeigt wird, klicken Sie auf Anderes Konto verwenden.
- Die Google Cloud-Anmeldeseite wird geöffnet. Kopieren Sie die Anmeldedaten für Username 1, die in etwa dem Format
googlexxxxxx_student@qwiklabs.net
entsprechen, und fügen Sie sie in das Feld „E‑Mail‑Adresse oder Telefonnummer“ ein. Klicken Sie dann auf Weiter. - Kopieren Sie das Passwort aus dem Bereich Lab Connection und fügen Sie es in das Feld „Passwort“ auf der Google-Anmeldeseite ein.
- Klicken Sie auf Weiter und dann auf Akzeptieren, um die Nutzungsbedingungen zu akzeptieren. Die Cloud Console wird geöffnet. Stimmen Sie den Nutzungsbedingungen zu und klicken Sie auf Zustimmen und fortfahren.
Als zweiter Nutzer in der Cloud Console anmelden
- Klicken Sie wieder auf Google Console öffnen. Ein neuer Browsertab wird geöffnet. Wenn die Eingabeaufforderung Konto auswählen angezeigt wird, klicken Sie auf Anderes Konto verwenden.
- Die Google Cloud-Anmeldeseite wird geöffnet. Kopieren Sie die Anmeldedaten für Username 2, die in etwa dem Format
googlexxxxxx_student@qwiklabs.net
entsprechen, und fügen Sie sie in das Feld E‑Mail‑Adresse oder Telefonnummer ein. Klicken Sie dann auf Weiter. - Kopieren Sie das Passwort aus dem Bereich Lab Connection und fügen Sie es in das Feld „Passwort“ auf der Google-Anmeldeseite ein.
- Klicken Sie auf Weiter und dann auf Akzeptieren, um die Nutzungsbedingungen zu akzeptieren. Die Cloud Console wird geöffnet. Stimmen Sie den Nutzungsbedingungen zu und klicken Sie auf Zustimmen und fortfahren.
In Ihrem Browser sollten nun zwei Tabs der Cloud Console geöffnet sein. Auf einem Tab ist „Username 1“ und auf dem anderen „Username 2“ angemeldet.
Nutzer in einem Browsertab aufrufen oder zurücksetzen
Gelegentlich kann es vorkommen, dass ein Nutzer in einem Browsertab überschrieben wird oder Sie nicht wissen, welcher Nutzer auf welchem Browsertab angemeldet ist.
Wenn Sie den Mauszeiger auf den Avatar bewegen, wird der Nutzername der Person angezeigt, die in diesem Browsertab angemeldet ist.
So setzen Sie den Nutzer zurück, der in einem Browsertab angemeldet ist:
- Klicken Sie auf den Avatar und dann auf Abmelden.
- Klicken Sie im Bereich Lab Connection auf Google Console öffnen und melden Sie sich mit dem entsprechenden Nutzernamen und Passwort an.
Aufgabe 1: IAM Console und Rollen auf Projektebene kennenlernen
- Kehren Sie in der Cloud Console zur Seite zurück, auf der Sie als Username 1 angemeldet sind.
- Wählen Sie im Navigationsmenü > IAM und Verwaltung > IAM aus. Sie befinden sich jetzt in der Console „IAM und Verwaltung“.
- Klicken Sie oben auf der Seite auf die Schaltfläche +Zugriff gewähren:
- Scrollen Sie im Abschnitt „Rolle auswählen“ zu Einfach und bewegen Sie den Mauszeiger darüber.
Es gibt drei Rollen:
- Editor
- Owner
- Viewer
Das sind die einfachen Rollen in Google Cloud. Mit einfachen Rollen werden Berechtigungen auf Projektebene zugewiesen. Sofern nicht anders angegeben, werden damit Zugriff und Verwaltung für alle Google Cloud-Dienste gesteuert.
Die Definitionen in der folgenden Tabelle stammen aus dem Google Cloud IAM-Artikel Einfache Rollen. Sie bieten einen kurzen Überblick über die Berechtigungen der Rollen „Viewer“, „Editor“ und „Owner“:
Rollenname |
Berechtigungen |
roles/viewer |
Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. Ressourcen oder Daten aufrufen (aber nicht ändern) |
roles/editor |
Alle Berechtigungen der Rolle „Viewer“ sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. Ressourcen ändern |
roles/owner |
Alle Berechtigungen der Rolle „Editor“ und Berechtigungen für die folgenden Aktionen:
|
Da Sie für dieses Projekt Rollen und Berechtigungen verwalten können, hat Username 1 Berechtigungen für „Project Owner“.
- Klicken Sie auf Abbrechen, um das Steuerfeld „Hauptkonto hinzufügen“ zu verlassen.
Rolle „Editor“ kennenlernen
Wechseln Sie in der Console zur Seite, auf der Sie als Username 2 angemeldet sind.
-
Wählen Sie in der Console „IAM und Verwaltung“ im Navigationsmenü > IAM und Verwaltung > IAM aus.
-
Suchen Sie in der Tabelle nach „Username 1“ und „Username 2“ und sehen Sie sich die zugehörigen Rollen an. Die Rollen für Username 1 und Username 2 stehen rechts neben dem jeweiligen Nutzer.
Hier sollten Sie dies sehen:
- Username 2 ist die Rolle „Viewer“ zugeordnet.
- Die Schaltfläche +Zugriff gewähren oben auf der Seite ist ausgegraut. Wenn Sie darauf klicken, wird folgende Meldung angezeigt: „Für diese Aktion sind bestimmte Berechtigungen erforderlich. Erforderliche Berechtigung(en): resource manager.projects.setIamPolicy“.
Das ist ein Beispiel dafür, wie IAM-Rollen sich darauf auswirken, was Sie in Google Cloud tun können und was nicht.
- Kehren Sie in der Console zur Seite zurück, auf der Sie als Username 1 angemeldet sind, um den letzten Schritt auszuführen.
Aufgabe 2: Cloud Storage-Bucket für die Zugriffsprüfung vorbereiten
Achten Sie darauf, dass Sie in der Cloud Console als Username 1 angemeldet sind.
Bucket erstellen
-
Erstellen Sie einen Cloud Storage-Bucket mit einem eindeutigen Namen. Wählen Sie in der Cloud Console im Navigationsmenü > Cloud Storage > Buckets aus.
-
Klicken Sie auf +Erstellen.
- Aktualisieren Sie die folgenden Felder. Behalten Sie in allen anderen Feldern die Standardwerte bei.
Attribut |
Wert |
Name: |
global nur einmal vorkommender Name (den Sie selbst festlegen) – dann auf Fortfahren klicken. |
Standorttyp: |
Mehrere Regionen |
Notieren Sie sich den Bucket-Namen. Sie benötigen ihn in einem späteren Schritt.
-
Klicken Sie auf Erstellen.
-
Wenn Sie dazu aufgefordert werden, klicken Sie im Dialogfeld „Der öffentliche Zugriff wird verhindert“ auf Bestätigen.
Beispieldatei hochladen
-
Klicken Sie auf der Seite „Bucket-Details“ auf den Tab Dateien hochladen.
-
Suchen Sie auf Ihrem Computer nach einer geeigneten Datei. Dies kann eine beliebige Text- oder HTML-Datei sein.
-
Klicken Sie auf die drei Punkte am Ende der Zeile mit der Datei und dann auf Umbenennen.
-
Geben Sie der Datei den Namen
sample.txt
. -
Klicken Sie auf Umbenennen.
Klicken Sie auf Fortschritt prüfen.
Überprüfen, ob der „Project Viewer“ Zugriff hat
-
Wechseln Sie zur Console, in der Sie als Username 2 angemeldet sind.
-
Wählen Sie in der Console im Navigationsmenü > Cloud Storage > Buckets aus. Überprüfen Sie, ob dieser Nutzer den Bucket sehen kann.
Username 2 ist die Rolle „Viewer“ zugeordnet. Damit ist der Nutzer berechtigt, schreibgeschützte Aktionen durchzuführen, die sich nicht auf den Status auswirken. In unserem Beispiel wird diese Funktion veranschaulicht. Nutzer können Cloud Storage-Buckets und Dateien aufrufen, die in dem Google Cloud-Projekt gehostet sind, auf das sie Zugriff haben.
Aufgabe 3: Projektzugriff aufheben
Wechseln Sie in der Console zur Seite, auf der Sie als Username 1 angemeldet sind.
Zugriff als „Project Viewer“ für Username 2 aufheben
- Wählen Sie im Navigationsmenü > IAM und Verwaltung > IAM aus. Klicken Sie dann auf das Bleistiftsymbol inline und rechts neben Username 2.
- Entfernen Sie den „Project Viewer“-Zugriff für Username 2, indem Sie auf das Papierkorbsymbol neben dem Rollennamen klicken. Klicken Sie anschließend auf Speichern.
Der Nutzer wurde aus der Mitgliederliste entfernt und kann nicht mehr auf das Projekt zugreifen.
Vergewissern, dass Username 2 keinen Zugriff mehr hat
-
Wechseln Sie in der Console zur Seite, auf der Sie als Username 2 angemeldet sind. Achten Sie darauf, dass Sie weiterhin mit den Anmeldedaten für Username 2 angemeldet sind und nicht vom Projekt abgemeldet wurden, nachdem die Berechtigungen aufgehoben wurden. Sollten Sie abgemeldet worden sein, melden Sie sich mit den richtigen Anmeldedaten wieder an.
-
Kehren Sie zu Cloud Storage zurück, indem Sie im Navigationsmenü > Cloud Storage > Buckets auswählen.
Es sollte ein Berechtigungsfehler angezeigt werden.
Klicken Sie auf Fortschritt prüfen.
Aufgabe 4: Cloud Storage-Berechtigungen hinzufügen
-
Kopieren Sie den Nutzernamen für Username 2 aus dem Bereich Lab Connection.
-
Wechseln Sie in der Console zur Seite, auf der Sie als Username 1 angemeldet sind. Achten Sie darauf, dass Sie weiterhin mit den Anmeldedaten für Username 1 angemeldet sind. Wenn Sie abgemeldet sind, melden Sie sich mit den richtigen Anmeldedaten wieder an.
-
Wählen Sie in der Console im Navigationsmenü > IAM und Verwaltung > IAM aus.
-
Klicken Sie auf die Schaltfläche +Zugriff gewähren und fügen Sie den Nutzernamen von Username 2 in das Feld Neue Hauptkonten ein.
-
Wählen Sie im Feld Rolle auswählen aus dem Drop-down-Menü Cloud Storage > Storage Object Viewer aus.
-
Klicken Sie auf Speichern.
Zugriff überprüfen
- Wechseln Sie zur Console, in der Sie als Username 2 angemeldet sind. Sie bleiben dennoch auf der Storage-Seite.
Username 2 hat nicht die Rolle „Project Owner“. Der Nutzer kann also das Projekt bzw. die zugehörigen Ressourcen in der Console nicht sehen. Der Nutzer hat jedoch Zugriff auf Cloud Storage, nämlich durch die Rolle „Storage Object Viewer“ – prüfen Sie das jetzt.
-
Klicken Sie auf Cloud Shell aktivieren , um die Befehlszeile von Cloud Shell zu öffnen. Wenn Sie dazu aufgefordert werden, klicken Sie auf Weiter.
-
Öffnen Sie eine Cloud Shell-Sitzung und geben Sie den folgenden Befehl ein. Ersetzen Sie dabei
[YOUR_BUCKET_NAME]
durch den Namen des Buckets, den Sie vorhin erstellt haben.
Die Ausgabe sollte ungefähr so aussehen:
AccessDeniedException
angezeigt, warten Sie eine Minute und führen Sie den Befehl noch mal aus.- Wie Sie sehen können, haben Sie Username 2 Lesezugriff auf den Cloud Storage-Bucket erteilt.
Klicken Sie auf Fortschritt prüfen.
Das wars!
Sie haben das Lab erfolgreich abgeschlossen. Darin haben Sie geübt, einem Nutzer Cloud IAM-Rollen zu gewähren und Berechtigungen wieder aufzuheben.
Weitere Informationen
Dieses Lab ist auch Teil der Lab-Reihe „Qwik Starts“. Die Labs geben Ihnen einen kleinen Vorgeschmack auf die vielen Funktionen von Google Cloud. Suchen Sie im Google Cloud Skills Boost-Katalog einfach nach „Qwik Starts“ und wählen Sie das nächste Lab aus, das Sie durchgehen möchten.
Google Cloud-Schulungen und -Zertifizierungen
In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.
Anleitung zuletzt am 15. April 2024 aktualisiert
Lab zuletzt am 8. April 2024 getestet
© 2024 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.