GSP064

Огляд

Сервіс Google Cloud для керування ідентифікацією і доступом (IAM) дає змогу створювати дозволи для ресурсів Google Cloud і керувати ними. Cloud IAM – це єдина система контролю доступу для сервісів Google Cloud з уніфікованим набором функцій.

У цій практичній роботі вам потрібно буде здійснити вхід за допомогою двох різних наборів облікових даних, тобто в ролях власника проекту Google Cloud і користувача з правами перегляду. Так ви дізнаєтесь, як надаються й скасовуються дозволи.

Чого ви навчитесь

• Призначати ролі іншим користувачам
• Вилучати призначені ролі в Cloud IAM

Рівень попередньої підготовки

Це практична робота початкового рівня, тож для її виконання не обов’язково добре знатися на Cloud IAM. Досвід роботи з Cloud Storage також необов’язковий, однак може бути в пригоді під час виконання практичної роботи. Переконайтеся, що на вашому комп’ютері є файл у форматі .txt або .html. Щоб покращити навички роботи з Cloud IAM, виконайте практичну роботу Google Cloud Skills Boost із призначення спеціальних ролей в IAM.

Щойно ви будете готові, прокрутіть сторінку вниз і виконайте описані кроки, щоб налаштувати середовище для практичної роботи.

Налаштування й вимоги

Як зазначалося вище, у цій практичній роботі використовуються два набори облікових даних, щоб ознайомити вас із правилами роботи в IAM і дозволами, доступними для різних ролей.

Ліворуч на панелі Lab Connection (Підключення) у практичній роботі буде наведено такий список облікових даних:

Зверніть увагу, що вам доступні два облікові записи: Username 1 (Користувач 1) і Username 2 (Користувач 2). Вони представляють відповідні профілі в Cloud IAM із різними правами доступу. Кожна з таких "ролей" має власні обмеження щодо дій, які відповідний користувач може чи не може виконувати з ресурсами Google Cloud у призначених йому проектах.

Увійдіть у Cloud Console за допомогою першого набору облікових даних

1. Натисніть кнопку Open Google Console (Відкрити Google Console). Відкриється нова вкладка вебпереглядача. Якщо з’явиться вікно Choose an account (Вибір облікового запису), натисніть Use another account (Увійти в інший обліковий запис).
2. Відкриється сторінка входу в Google Cloud. Після цього скопіюйте облікові дані для профілю Username 1 (Користувач 1), які мають вигляд googlexxxxxx_student@qwiklabs.net, вставте їх у поле Email or phone (Електронна адреса чи номер телефону) на сторінці входу й натисніть Next (Далі).
3. Скопіюйте пароль, який указано на панелі Lab Connection (Підключення), і вставте його у відповідне поле на сторінці входу Google.
4. Натисніть Next (Далі), а потім Accept (Прийняти), щоб погодитися з Умовами використання. Відкриється Cloud Console. Надайте згоду на дотримання Умов використання й натисніть Agree and Continue (Прийняти й продовжити).

Увійдіть у Cloud Console за допомогою другого набору облікових даних

1. Знову натисніть кнопку Open Google Console (Відкрити Google Console). Відкриється нова вкладка вебпереглядача. Якщо на ній з’явиться вікно Choose an account (Вибір облікового запису), натисніть Use another account (Увійти в інший обліковий запис).
2. Відкриється сторінка входу в Google Cloud. Скопіюйте облікові дані для профілю Username 2 (Користувач 2), які мають вигляд googlexxxxxx_student@qwiklabs.net, вставте їх у поле Email or phone (Електронна адреса чи номер телефону) і натисніть Next (Далі).
3. Скопіюйте пароль, який указано на панелі Lab Connection (Підключення), і вставте його у відповідне поле на сторінці входу Google.
4. Натисніть Next (Далі), а потім Accept (Прийняти), щоб погодитися з Умовами використання. Відкриється Cloud Console. Надайте згоду на дотримання Умов використання й натисніть Agree and Continue (Прийняти й продовжити).

Тепер у вашому вебпереглядачі має бути відкрито дві вкладки Cloud Console: на одній ви ввійшли як Користувач 1, а на іншій – як Користувач 2.

Як перевірити чи змінити профіль користувача на вкладці вебпереглядача

Іноді профіль користувача на вкладці вебпереглядача може перезаписатись або ви можете забути, який з облікових записів використовується на кожній із вкладок.

Щоб дізнатися, котрий з облікових записів використовується на певній вкладці, наведіть курсор на зображення профілю й перегляньте ім’я користувача.

Щоб змінити профіль користувача на вкладці вебпереглядача, виконайте наведені нижче дії.

1. Натисніть зображення профілю й виберіть Sign out (Вийти).
2. На панелі Lab Connection (Підключення) натисніть Open Google Console (Відкрити Google Console) і ввійдіть ще раз, використовуючи правильне ім’я користувача й пароль.

Завдання 1. Ознайомтеся з консоллю IAM і ролями на рівні проекту

1. Поверніться на сторінку Cloud Console, де ви ввійшли як Username 1 (Користувач 1).
2. Виберіть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM. Відкриється консоль IAM & Admin (Адміністрування й керування ідентифікацією і доступом).
3. Угорі сторінки натисніть кнопку +GRANT ACCESS (+НАДАТИ ДОСТУП).
4. У розділі Select a role (Виберіть роль) прокрутіть сторінку до пункту Basic (Основні) і наведіть на нього курсор миші.

Є три ролі:

• редактор;
• власник;
• користувач із правами перегляду.

Це базові ролі в Google Cloud. Вони надають певні дозволи на рівні проекту, а також контролюють можливості доступу й керування у всіх сервісах Google Cloud (якщо в налаштуваннях не вибрано інше).

У таблиці нижче наведено визначення зі статті про базові ролі в Google Cloud IAM, де подається короткий опис дозволів для ролей "Користувач із правами пошуку", "Користувач із правами перегляду", "Редактор" і "Власник".

Назва ролі	Дозволи
roles/viewer (користувач із правами перегляду)	Має дозволи лише для перегляду й дій, що не впливають на стан, зокрема може переглядати наявні ресурси або дані (але не змінювати їх).
roles/editor (редактор)	Має всі дозволи користувача з правами перегляду, а також може виконувати дії, що впливають на стан, наприклад змінювати наявні ресурси.
roles/owner (власник)	Має всі дозволи редактора, а також може: керувати ролями та дозволами для проекту й усіма ресурсами в ньому; налаштовувати платежі для проекту.

Оскільки ви можете керувати ролями й дозволами для цього проекту, Користувач 1 є власником.

4. Натисніть CANCEL (СКАСУВАТИ), щоб вийти з панелі Add principal (Додати учасника).

Ознайомтеся з роллю редактора

Тепер перейдіть на вкладку з профілем Username 2 (Користувач 2).

1. Відкрийте консоль IAM & Admin (Адміністрування й керування ідентифікацією і доступом). Для цього натисніть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM.

2. У таблиці знайдіть облікові записи Username 1 (Користувач 1) і Username 2 (Користувач 2) й ознайомтеся з наданими їм ролями (їх наведено праворуч від кожного користувача).

Ви побачите, що:

• Користувач 2 має роль "Користувач із правами перегляду";
• кнопка +GRANT ACCESS (+НАДАТИ ДОСТУП) угорі затінена, тож якщо ви натиснете її, з’явиться повідомлення "You need permissions for this action. Required permission(s): resource manager.projects.setIamPolicy" ("Для виконання цієї дії потрібні відповідні дозволи, зокрема: resource manager.projects.setIamPolicy").

Це один із прикладів того, як ролі IAM впливають на ваші можливості в Google Cloud.

3. Щоб виконати наступні дії, поверніться на вкладку з профілем Username 1 (Користувач 1).

Завдання 2. Підготуйте сегмент Cloud Storage для перевірки доступу

Переконайтеся, що ви ввійшли в Cloud Console як Username 1 (Користувач 1).

Створіть сегмент

1. Створіть сегмент Cloud Storage з унікальною назвою. У Cloud Console виберіть меню навігації > Cloud Storage > Buckets (Сегменти).

2. Натисніть +CREATE (+СТВОРИТИ).

Примітка. Якщо ви отримали повідомлення про помилку дозволів для створення сегмента, вийдіть і ввійдіть знову за допомогою облікових даних Користувача 1.

3. Заповніть перелічені нижче поля, а всі інші залиште без змін.

Властивість	Значення
Name (Назва)	Укажіть глобально унікальну назву (придумайте її самостійно!) і натисніть CONTINUE (ПРОДОВЖИТИ).
Location Type (Тип місцезнаходження)	Multi-Region (Мультирегіон)

Запам’ятайте назву семента. Вона знадобиться пізніше.

4. Натисніть CREATE (СТВОРИТИ).

5. Якщо з’явиться вікно Public access will be prevented (Загальний доступ буде заборонено), натисніть Confirm (Підтвердити).

Примітка. Якщо ви отримали повідомлення про помилку дозволів для створення сегмента, вийдіть і ввійдіть знову за допомогою облікових даних Користувача 1.

Завантажте тестовий файл

1. На сторінці інформації про сегмент натисніть UPLOAD FILES (ЗАВАНТАЖИТИ ФАЙЛИ).

2. Виберіть потрібний файл на комп’ютері (підійде будь-який файл у форматі .txt або .html).

3. Натисніть значок із трьома крапками в кінці рядка файлу й виберіть Rename (Перейменувати).

4. Змініть назву файлу на sample.txt.

5. Натисніть RENAME (ПЕРЕЙМЕНУВАТИ).

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання.

Створіть сегмент і завантажте тестовий файл

Перевірте доступ для користувача з правами перегляду для проекту

1. Перейдіть на вкладку з профілем Username 2 (Користувач 2).

2. У Cloud Console виберіть меню навігації > Cloud Storage > Buckets (Сегменти). Переконайтеся, що цей користувач бачить створений сегмент.

Користувач 2 має роль "Користувач із правами перегляду", тобто дозволи лише для читання й дій, що не впливають на стан. Цей приклад показує, як користувач може переглядати сегменти й файли Cloud Storage у проекті Google Cloud, до якого має доступ.

Завдання 3. Скасуйте доступ до проекту

Перейдіть на вкладку з профілем Username 1 (Користувач 1).

Скасуйте дозвіл на перегляд проекту для Користувача 2

1. Виберіть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM. Потім натисніть значок олівця праворуч від облікового запису Username 2 (Користувач 2).

Примітка. Можливо, знадобиться розширити екран, щоб побачити значок олівця.

2. Вилучіть дозвіл на перегляд проекту для облікового запису Username 2 (Користувач 2), натиснувши значок кошика поруч із назвою ролі, а потім виберіть SAVE (ЗБЕРЕГТИ).

Зверніть увагу, що після цього користувач зникне зі списку учасників і більше не матиме доступу до проекту.

Примітка. Цю зміну буде застосовано протягом 80 секунд. Щоб дізнатися більше про Google Cloud IAM, перегляньте відповіді на поширені запитання в документації ресурсів.

Переконайтеся, що Користувач 2 більше не має доступу

1. Перейдіть на вкладку з профілем Username 2 (Користувач 2) у Cloud Console. Переконайтеся, що профіль з обліковими даними Користувача 2 досі активний і що після скасування дозволів ви не вийшли з проекту (в іншому разі вам потрібно буде ввійти знову, використовуючи відповідні облікові дані).

2. Поверніться в Cloud Storage, вибравши меню навігації > Cloud Storage > Buckets (Сегменти).

Має з’явитися повідомлення про помилку дозволу.

Примітка. Як зазначалося раніше, дозволи буде скасовано впродовж 80 секунд. Якщо повідомлення про помилку не з’явилося, зачекайте 2 хвилини й оновіть сторінку.

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання.

Скасуйте доступ до проекту

Завдання 4. Додайте дозволи Cloud Storage

1. Скопіюйте ім’я з поля Username 2 (Користувач 2) на панелі Lab Connection (Підключення).

2. Перейдіть на вкладку з профілем Username 1 (Користувач 1). Переконайтеся, що профіль з обліковими даними Користувача 1 досі активний (в іншому разі вам потрібно буде ввійти знову, використовуючи відповідні облікові дані).

3. Виберіть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM (Керування ідентифікацією і доступом).

4. Натисніть кнопку +GRANT ACCESS (+НАДАТИ ДОСТУП) і вставте ім’я, скопійоване з поля Username 2 (Користувач 2), у поле New principals (Нові учасники).

5. У полі Select a role (Вибрати роль) зі спадного меню виберіть Cloud Storage > Storage Object Viewer (Користувач із правами перегляду об’єктів Cloud Storage).

6. Натисніть SAVE (ЗБЕРЕГТИ).

Перевірте наявність доступу

1. Перейдіть на вкладку з профілем Username 2 (Користувач 2). На ній досі має бути відкрито сторінку Cloud Storage.

Користувач Username 2 (Користувач 2) не має дозволу на перегляд проекту, тож не зможе відкрити ані цей проект, ані жоден із його ресурсів у Cloud Console. Однак у нього є спеціальні права доступу – роль користувача з правами перегляду об’єктів Cloud Storage. Давайте перевіримо її.

2. Натисніть Activate Cloud Shell (Активувати Cloud Shell) , щоб відкрити командний рядок Cloud Shell. За потреби натисніть Continue (Продовжити).

3. Почніть сеанс у Cloud Shell і введіть наведену нижче команду, замінивши фрагмент [YOUR_BUCKET_NAME] на назву створеного раніше сегмента.

gsutil ls gs://[YOUR_BUCKET_NAME]

З’явиться схожий результат:

gs://[YOUR_BUCKET_NAME]/sample.txt Примітка. У разі появи повідомлення AccessDeniedException зачекайте кілька хвилин і виконайте команду ще раз.

4. Як бачите, користувачу Username 2 (Користувач 2) було надано дозвіл на перегляд сегмента Cloud Storage.

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання.

Додайте дозволи Cloud Storage

Вітаємо!

Під час цієї практичної роботи ви навчилися надавати й скасовувати ролі користувачів у Cloud IAM.

Наступні кроки/Докладніше

Ця робота також входить до низки практичних робіт під назвою Qwik Starts. Вони призначені для ознайомлення з функціями Google Cloud. Такі практичні роботи можна знайти в каталозі Google Cloud Skills Boost за запитом "Qwik Starts".

Навчання й сертифікація Google Cloud

…допомагають ефективно використовувати технології Google Cloud. Наші курси передбачають опанування технічних навичок, а також ознайомлення з рекомендаціями, що допоможуть вам швидко зорієнтуватися й вивчити матеріал. Ми пропонуємо курси різних рівнів – від базового до високого. Ви можете вибрати формат навчання (за запитом, онлайн або офлайн) відповідно до власного розкладу. Пройшовши сертифікацію, ви перевірите й підтвердите свої навички та досвід роботи з технологіями Google Cloud.

Посібник востаннє оновлено 15 квітня 2024 року

Практичну роботу востаннє протестовано 8 квітня 2024 року

© Google LLC 2024. Усі права захищено. Назва та логотип Google є торговельними марками Google LLC. Усі інші назви компаній і продуктів можуть бути торговельними марками відповідних компаній, з якими вони пов’язані.