![](https://cdn.qwiklabs.com/assets/labs/start_lab-f45aca49782d4033c3ff688160387ac98c66941d.png)
Before you begin
- Labs create a Google Cloud project and resources for a fixed time
- Labs have a time limit and no pause feature. If you restart it, you'll have to start from the beginning.
- On the top left of your screen, click Start lab to begin
Create a bucket and upload a sample file
/ 20
Remove project access
/ 40
Add Storage permissions
/ 40
Mit dem Dienst Cloud Identity and Access Management (Cloud IAM) von Google können Sie Berechtigungen für Ressourcen in Google Cloud erstellen und verwalten. Cloud IAM vereint die Zugriffssteuerung für Google Cloud-Dienste in einem einzigen System und sorgt so für eine einheitliche Berechtigungsverwaltung.
In diesem Lab melden Sie sich mit zwei Kombinationen aus Anmeldedaten an, um zu erfahren, wie Berechtigungen für die Rollen „Google Cloud Project Owner“ und „Viewer“ gewährt und aufgehoben werden.
Dies ist ein Einführungs-Lab. Es werden keine oder nur wenige Vorkenntnisse in Cloud IAM vorausgesetzt. Erfahrung mit Cloud Storage ist von Vorteil, jedoch nicht erforderlich, um die Aufgaben auszuführen. Sie benötigen für das Lab eine Datei mit der Endung .txt oder .html. Eine weiterführende Übung zu Cloud IAM finden Sie im Google Cloud Skills Boost-Lab Benutzerdefinierte IAM-Rollen.
Sind Sie bereit? Im Folgenden finden Sie die Schritte zum Einrichten Ihrer Lab-Umgebung.
Wie bereits erläutert, werden bei diesem Lab zwei Kombinationen aus Anmeldedaten verwendet, um IAM-Richtlinien und mögliche Berechtigungen für bestimmte Rollen zu veranschaulichen.
Im Bereich Lab Connection links im Lab sehen Sie Anmeldedaten, die in etwa folgendem Format entsprechen:
Es gibt zwei Nutzernamen: „Username 1“ und „Username 2“. Sie stehen für Identitäten in Cloud IAM, jede mit unterschiedlichen Zugriffsberechtigungen. Diese „Rollen“ legen fest, was Sie in Ihrem zugewiesenen Projekt mit den Ressourcen von Google Cloud tun können und was nicht.
googlexxxxxx_student@qwiklabs.net
entsprechen, und fügen Sie sie in das Feld „E‑Mail‑Adresse oder Telefonnummer“ ein. Klicken Sie dann auf Weiter.googlexxxxxx_student@qwiklabs.net
entsprechen, und fügen Sie sie in das Feld E‑Mail‑Adresse oder Telefonnummer ein. Klicken Sie dann auf Weiter.In Ihrem Browser sollten nun zwei Tabs der Cloud Console geöffnet sein. Auf einem Tab ist „Username 1“ und auf dem anderen „Username 2“ angemeldet.
Gelegentlich kann es vorkommen, dass ein Nutzer in einem Browsertab überschrieben wird oder Sie nicht wissen, welcher Nutzer auf welchem Browsertab angemeldet ist.
Wenn Sie den Mauszeiger auf den Avatar bewegen, wird der Nutzername der Person angezeigt, die in diesem Browsertab angemeldet ist.
So setzen Sie den Nutzer zurück, der in einem Browsertab angemeldet ist:
Es gibt drei Rollen:
Das sind die einfachen Rollen in Google Cloud. Mit einfachen Rollen werden Berechtigungen auf Projektebene zugewiesen. Sofern nicht anders angegeben, werden damit Zugriff und Verwaltung für alle Google Cloud-Dienste gesteuert.
Die Definitionen in der folgenden Tabelle stammen aus dem Google Cloud IAM-Artikel Einfache Rollen. Sie bieten einen kurzen Überblick über die Berechtigungen der Rollen „Viewer“, „Editor“ und „Owner“:
Rollenname |
Berechtigungen |
roles/viewer |
Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. Ressourcen oder Daten aufrufen (aber nicht ändern) |
roles/editor |
Alle Berechtigungen der Rolle „Viewer“ sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. Ressourcen ändern |
roles/owner |
Alle Berechtigungen der Rolle „Editor“ und Berechtigungen für die folgenden Aktionen:
|
Da Sie für dieses Projekt Rollen und Berechtigungen verwalten können, hat Username 1 Berechtigungen für „Project Owner“.
Wechseln Sie in der Console zur Seite, auf der Sie als Username 2 angemeldet sind.
Wählen Sie in der Console „IAM und Verwaltung“ im Navigationsmenü > IAM und Verwaltung > IAM aus.
Suchen Sie in der Tabelle nach „Username 1“ und „Username 2“ und sehen Sie sich die zugehörigen Rollen an. Die Rollen für Username 1 und Username 2 stehen rechts neben dem jeweiligen Nutzer.
Hier sollten Sie dies sehen:
Das ist ein Beispiel dafür, wie IAM-Rollen sich darauf auswirken, was Sie in Google Cloud tun können und was nicht.
Achten Sie darauf, dass Sie in der Cloud Console als Username 1 angemeldet sind.
Erstellen Sie einen Cloud Storage-Bucket mit einem eindeutigen Namen. Wählen Sie in der Cloud Console im Navigationsmenü > Cloud Storage > Buckets aus.
Klicken Sie auf +Erstellen.
Attribut |
Wert |
Name: |
global nur einmal vorkommender Name (den Sie selbst festlegen) – dann auf Fortfahren klicken. |
Standorttyp: |
Mehrere Regionen |
Notieren Sie sich den Bucket-Namen. Sie benötigen ihn in einem späteren Schritt.
Klicken Sie auf Erstellen.
Wenn Sie dazu aufgefordert werden, klicken Sie im Dialogfeld „Der öffentliche Zugriff wird verhindert“ auf Bestätigen.
Klicken Sie auf der Seite „Bucket-Details“ auf den Tab Dateien hochladen.
Suchen Sie auf Ihrem Computer nach einer geeigneten Datei. Dies kann eine beliebige Text- oder HTML-Datei sein.
Klicken Sie auf die drei Punkte am Ende der Zeile mit der Datei und dann auf Umbenennen.
Geben Sie der Datei den Namen sample.txt
.
Klicken Sie auf Umbenennen.
Klicken Sie auf Fortschritt prüfen.
Wechseln Sie zur Console, in der Sie als Username 2 angemeldet sind.
Wählen Sie in der Console im Navigationsmenü > Cloud Storage > Buckets aus. Überprüfen Sie, ob dieser Nutzer den Bucket sehen kann.
Username 2 ist die Rolle „Viewer“ zugeordnet. Damit ist der Nutzer berechtigt, schreibgeschützte Aktionen durchzuführen, die sich nicht auf den Status auswirken. In unserem Beispiel wird diese Funktion veranschaulicht. Nutzer können Cloud Storage-Buckets und Dateien aufrufen, die in dem Google Cloud-Projekt gehostet sind, auf das sie Zugriff haben.
Wechseln Sie in der Console zur Seite, auf der Sie als Username 1 angemeldet sind.
Der Nutzer wurde aus der Mitgliederliste entfernt und kann nicht mehr auf das Projekt zugreifen.
Wechseln Sie in der Console zur Seite, auf der Sie als Username 2 angemeldet sind. Achten Sie darauf, dass Sie weiterhin mit den Anmeldedaten für Username 2 angemeldet sind und nicht vom Projekt abgemeldet wurden, nachdem die Berechtigungen aufgehoben wurden. Sollten Sie abgemeldet worden sein, melden Sie sich mit den richtigen Anmeldedaten wieder an.
Kehren Sie zu Cloud Storage zurück, indem Sie im Navigationsmenü > Cloud Storage > Buckets auswählen.
Es sollte ein Berechtigungsfehler angezeigt werden.
Klicken Sie auf Fortschritt prüfen.
Kopieren Sie den Nutzernamen für Username 2 aus dem Bereich Lab Connection.
Wechseln Sie in der Console zur Seite, auf der Sie als Username 1 angemeldet sind. Achten Sie darauf, dass Sie weiterhin mit den Anmeldedaten für Username 1 angemeldet sind. Wenn Sie abgemeldet sind, melden Sie sich mit den richtigen Anmeldedaten wieder an.
Wählen Sie in der Console im Navigationsmenü > IAM und Verwaltung > IAM aus.
Klicken Sie auf die Schaltfläche +Zugriff gewähren und fügen Sie den Nutzernamen von Username 2 in das Feld Neue Hauptkonten ein.
Wählen Sie im Feld Rolle auswählen aus dem Drop-down-Menü Cloud Storage > Storage Object Viewer aus.
Klicken Sie auf Speichern.
Username 2 hat nicht die Rolle „Project Owner“. Der Nutzer kann also das Projekt bzw. die zugehörigen Ressourcen in der Console nicht sehen. Der Nutzer hat jedoch Zugriff auf Cloud Storage, nämlich durch die Rolle „Storage Object Viewer“ – prüfen Sie das jetzt.
Klicken Sie auf Cloud Shell aktivieren , um die Befehlszeile von Cloud Shell zu öffnen. Wenn Sie dazu aufgefordert werden, klicken Sie auf Weiter.
Öffnen Sie eine Cloud Shell-Sitzung und geben Sie den folgenden Befehl ein. Ersetzen Sie dabei [YOUR_BUCKET_NAME]
durch den Namen des Buckets, den Sie vorhin erstellt haben.
Die Ausgabe sollte ungefähr so aussehen:
AccessDeniedException
angezeigt, warten Sie eine Minute und führen Sie den Befehl noch mal aus.Klicken Sie auf Fortschritt prüfen.
Sie haben das Lab erfolgreich abgeschlossen. Darin haben Sie geübt, einem Nutzer Cloud IAM-Rollen zu gewähren und Berechtigungen wieder aufzuheben.
Dieses Lab ist auch Teil der Lab-Reihe „Qwik Starts“. Die Labs geben Ihnen einen kleinen Vorgeschmack auf die vielen Funktionen von Google Cloud. Suchen Sie im Google Cloud Skills Boost-Katalog einfach nach „Qwik Starts“ und wählen Sie das nächste Lab aus, das Sie durchgehen möchten.
In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.
Anleitung zuletzt am 15. April 2024 aktualisiert
Lab zuletzt am 8. April 2024 getestet
© 2025 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.