Checkpoints
Create a bucket and upload a sample file
/ 20
Remove project access
/ 40
Add Storage permissions
/ 40
Cloud IAM: Qwik Start
GSP064
Visão geral
O serviço Identity and Access Management (IAM) do Google Cloud permite criar e gerenciar permissões para os recursos do Google Cloud. O Cloud IAM unifica o controle de acesso dos serviços do Google Cloud em um só sistema e apresenta um conjunto consistente de operações.
Neste laboratório, você vai fazer login com dois conjuntos diferentes de credenciais para saber como a concessão e a revogação de permissões funcionam nos papéis de Proprietário e Leitor de projetos do Google Cloud.
Conteúdo
- Atribuir um papel a um segundo usuário
- Remover papéis atribuídos associados ao Cloud IAM
Pré-requisitos
Este é um laboratório de nível introdutório. Espera-se pouco ou nenhum conhecimento prévio do Cloud IAM. A experiência com o Cloud Storage é útil para concluir as tarefas neste laboratório, mas não é necessária. Confirme se há um arquivo em .txt ou .html disponível. Se quiser encontrar práticas mais avançadas com o Cloud IAM, confira o laboratório do Google Cloud Ensina Papéis personalizados do IAM.
Quando estiver tudo pronto, role para baixo e siga as etapas para configurar seu ambiente de laboratório.
Configuração e requisitos
Como mencionado antes, este laboratório conta com dois conjuntos de credenciais para ilustrar as políticas do IAM e as permissões disponíveis para papéis específicos.
No painel Conexão do laboratório no lado esquerdo do seu laboratório, é possível ver uma lista de credenciais semelhante à seguinte:
Observe que há dois nomes de usuário: Nome de usuário 1 e Nome de usuário 2. Eles representam identidades no Cloud IAM, cada uma com permissões de acesso diferentes alocadas a eles. Esses "papéis" estabelecem restrições sobre o que pode ou não ser feito com os recursos do Google Cloud no projeto alocado a você.
Faça login no Console do Cloud como o primeiro usuário
- Clique no botão Abrir Console do Google. Uma nova guia do navegador será aberta. Se aparecer a mensagem Escolher uma conta, clique em Usar outra conta.
- A página de login do Google Cloud é aberta. A página de login é aberta. Copie e cole a credencial do Nome de usuário 1, que é semelhante a
googlexxxxxx_student@qwiklabs.net
, no campo "E-mail ou telefone" e clique em Próximo. - Copie a senha do painel Conexão do laboratório e cole no campo de senha do Login do Google.
- Clique em Próximo e em Aceitar os Termos de Serviço. O console do Cloud é aberto. Concorde com os Termos de Serviço e clique em Concordar e continuar.
Faça login no console do Cloud como o segundo usuário
- Clique novamente no botão Abrir Console do Google. Uma nova guia do navegador será aberta. Se aparecer a mensagem Escolher uma conta, clique em Usar outra conta.
- A página de login do Google Cloud é aberta. Copie e cole a credencial do Nome de usuário 2, que é semelhante a
googlexxxxxx_student@qwiklabs.net
, no campo E-mail ou telefone e clique em Próximo. - Copie a senha do painel Conexão do laboratório e cole no campo de senha do Login do Google.
- Clique em Próximo e em Aceitar os Termos de Serviço. O console do Cloud é aberto. Concorde com os Termos de Serviço e clique em Concordar e continuar.
Você terá duas guias do console do Cloud abertas no navegador, uma conectada ao Nome de usuário 1 e outra com o Nome de usuário 2.
Veja ou redefina o usuário em uma guia do navegador
Às vezes, um usuário é substituído em uma guia do navegador ou você pode ficar confuso sobre qual usuário está conectado em qual guia.
Para saber qual usuário está conectado a uma guia do navegador, passe o cursor sobre o avatar para ver o nome de usuário.
Para redefinir o usuário que está conectado a uma guia do navegador:
- Clique no avatar e em Sair.
- No painel Conexão do laboratório, clique em Abrir Console do Google e faça login novamente com o nome de usuário e a senha corretos.
Tarefa 1: conhecer o console do IAM e os papéis para envolvidos no projeto
- Volte para a página do console do Cloud com o Nome de usuário 1.
- Selecione Menu de navegação > IAM e administrador > IAM. Agora você está no console "IAM e administrador".
- Clique no botão +PERMITIR ACESSO na parte de cima da página.
- Role para baixo até Básico na seção "Selecionar papel" e passe o mouse por cima.
Existem três papéis:
- Editor
- Proprietário
- Leitor
Esses são os papéis primários no Google Cloud. Os papéis primários definem permissões para envolvidos no projeto e, a menos que especificado de outra maneira, controlam o acesso e o gerenciamento de todos os serviços do Google Cloud.
A tabela a seguir extrai definições do artigo do Google Cloud IAM Papéis básicos, que fornece uma breve visão geral das permissões dos papéis de navegador, leitor, editor e proprietário:
Nome do papel |
Permissões |
papéis/leitor |
Permissões para ações somente leitura que não afetam o estado, como conferir (mas não modificar) recursos ou dados existentes. |
papéis/editor |
Todas as permissões de leitor e permissões para ações que modificam o estado, como a alteração de recursos existentes. |
papéis/proprietário |
Todas as permissões de editor e para as seguintes ações:
|
Como é possível gerenciar os papéis e as permissões nesse projeto, o Nome de usuário 1 tem permissões de Proprietário do projeto.
- Clique em CANCELAR para sair do painel "Adicionar principal".
Conheça o papel de editor
Acesse o console do Nome de usuário 2.
-
Navegue até o console "IAM e administrador" e selecione Menu de navegação > IAM e administrador > IAM.
-
Pesquise na tabela para encontrar o Nome de usuário 1 e o Nome de usuário 2 e examine os papéis que foram concedidos. Os papéis Nome de usuário 1 e Nome de usuário 2 são listados inline e à direita de cada usuário.
Você verá:
- O Nome de usuário 2 tem o papel "Leitor".
- O botão +CONCEDER ACESSO na parte superior está esmaecido. Se você tentar clicar nele, verá a seguinte mensagem: "Você precisa ter permissões para esta ação. Permissões necessárias: resource manager.projects.setIamPolicy".
Este é um exemplo de como os papéis do IAM afetam o que você pode ou não fazer no Google Cloud.
- Volte ao console do Nome de usuário 1 para a próxima etapa.
Tarefa 2: preparar um bucket do Cloud Storage para testar o acesso
Verifique se você está usando o Nome de usuário 1 no console do Cloud.
Crie um bucket
-
Crie um bucket do Cloud Storage com um nome exclusivo. No console do Cloud, acesse Menu de navegação > Cloud Storage > Buckets.
-
Clique em +CRIAR.
- Atualize os seguintes campos e deixe todos os outros com os valores padrão:
Propriedade |
Valor |
Nome: |
nome exclusivo globalmente (crie o seu) e clique em CONTINUAR. |
Tipo de local: |
Multirregional |
Anote o nome do bucket. Ele será usado em uma etapa posterior.
-
Clique em CRIAR.
-
Se a mensagem "O acesso público será bloqueado" aparecer, clique em Confirmar.
Faça upload de um arquivo de amostra
-
Na página "Detalhes do bucket", clique no botão FAZER UPLOAD DE ARQUIVOS.
-
Procure um arquivo no computador. Qualquer arquivo de texto ou html pode ser usado.
-
Clique nos três pontos no fim da linha que contém o arquivo e clique em Renomear.
-
Renomeie o arquivo como "
sample.txt
". -
Clique em RENOMEAR.
Clique em Verificar meu progresso para conferir o objetivo.
Confirme o acesso de leitor do projeto
-
Alterne para o console do Nome de usuário 2.
-
No Console, selecione Menu de navegação > Cloud Storage > Buckets. Verifique se esse usuário consegue visualizar o bucket.
O Nome de usuário 2 tem o papel "Leitor" para ações somente leitura que não afetam o estado. O exemplo ilustra esse recurso: é possível visualizar buckets e arquivos do Cloud Storage hospedados no projeto do Google Cloud a que o usuário tem acesso.
Tarefa 3: remover o acesso ao projeto
Acesse o console do Nome de usuário 1.
Remova o acesso de leitor do Nome de usuário 2
- No console do Cloud, acesse o Menu de navegação > IAM e administrador > IAM. Em seguida, clique no ícone de lápis inline e à direita deNome de usuário 2.
- Clique no ícone de lixeira ao lado do nome do papel para remover o acesso "Leitor do projeto" do Nome de usuário 2. Em seguida, clique em SALVAR.
Observe que o usuário foi excluído da lista de membros, portanto, não tem mais acesso ao projeto.
Verifique se o Nome de usuário 2 teve o acesso removido
-
Acesse o console do Cloud do Nome de usuário 2. Verifique se você ainda está usando as credenciais do Nome de usuário 2 e se ele não foi desconectado do projeto depois que as permissões foram revogadas. Se tiver saído, faça login novamente com as credenciais apropriadas.
-
Selecione Menu de navegação > Cloud Storage > Buckets para navegar de volta para o Cloud Storage.
Você verá um erro de permissão.
Clique em Verificar meu progresso para conferir o objetivo.
Tarefa 4: adicionar permissões do Cloud Storage
-
Copie o Nome de usuário 2 do painel Conexão do laboratório.
-
Acesse o console do Nome de usuário 1. Verifique se você ainda está conectado com as credenciais do Nome de usuário 1. Se estiver desconectado, faça login novamente com as credenciais adequadas.
-
No Console, selecione Menu de navegação > IAM e administrador > IAM.
-
Clique no botão +CONCEDER ACESSO para colar o Nome de usuário 2 no campo Novos principais.
-
No campo Selecionar um papel, selecione Cloud Storage > Leitor de objetos do Storage no menu suspenso.
-
Clique em SALVAR.
Verifique o acesso
- Alterne para o console do Nome de usuário 2. Você ainda estará na página do Cloud Storage.
O Nome de usuário 2 não tem o papel de "Leitor do projeto" e, portanto, não pode ver o projeto nem os recursos dele no Console. No entanto, esse usuário tem acesso específico ao Cloud Storage com o papel de "Leitor de objetos do Storage". Verifique agora.
-
Clique em Ativar o Cloud Shell para abrir a linha de comando do Cloud Shell. Se for solicitado, clique em Continuar.
-
Abra uma sessão do Cloud Shell e insira o comando abaixo. Em seguida, substitua
[YOUR_BUCKET_NAME]
pelo nome do bucket criado:
Você verá uma saída como esta:
AccessDeniedException
, espere um momento e execute o comando anterior novamente.- Você deu ao Nome de usuário 2 acesso para ver o bucket do Cloud Storage.
Clique em Verificar meu progresso para conferir o objetivo.
Parabéns!
Neste laboratório, você aprendeu a conceder e revogar papéis do Cloud IAM para um usuário.
Próximas etapas / Saiba mais
Este laboratório também faz parte de uma série chamada Qwik Starts. Ela foi desenvolvida para apresentar os vários recursos disponíveis no Google Cloud. Pesquise "Qwik Starts" no catálogo do Google Cloud Ensina para encontrar algum laboratório que seja do seu interesse.
Treinamento e certificação do Google Cloud
Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.
Manual atualizado em 15 de abril de 2024
Laboratório testado em 08 de abril de 2024
Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.