![](https://cdn.qwiklabs.com/assets/labs/start_lab-f45aca49782d4033c3ff688160387ac98c66941d.png)
Before you begin
- Labs create a Google Cloud project and resources for a fixed time
- Labs have a time limit and no pause feature. If you restart it, you'll have to start from the beginning.
- On the top left of your screen, click Start lab to begin
Create a bucket and upload a sample file
/ 20
Remove project access
/ 40
Add Storage permissions
/ 40
Сервіс Google Cloud для керування ідентифікацією і доступом (IAM) дає змогу створювати дозволи для ресурсів Google Cloud і керувати ними. Cloud IAM – це єдина система контролю доступу для сервісів Google Cloud з уніфікованим набором функцій.
У цій практичній роботі вам потрібно буде здійснити вхід за допомогою двох різних наборів облікових даних, тобто в ролях власника проекту Google Cloud і користувача з правами перегляду. Так ви дізнаєтесь, як надаються й скасовуються дозволи.
Це практична робота початкового рівня, тож для її виконання не обов’язково добре знатися на Cloud IAM. Досвід роботи з Cloud Storage також необов’язковий, однак може бути в пригоді під час виконання практичної роботи. Переконайтеся, що на вашому комп’ютері є файл у форматі .txt або .html. Щоб покращити навички роботи з Cloud IAM, виконайте практичну роботу Google Cloud Skills Boost із призначення спеціальних ролей в IAM.
Щойно ви будете готові, прокрутіть сторінку вниз і виконайте описані кроки, щоб налаштувати середовище для практичної роботи.
Як зазначалося вище, у цій практичній роботі використовуються два набори облікових даних, щоб ознайомити вас із правилами роботи в IAM і дозволами, доступними для різних ролей.
Ліворуч на панелі Lab Connection (Підключення) у практичній роботі буде наведено такий список облікових даних:
Зверніть увагу, що вам доступні два облікові записи: Username 1 (Користувач 1) і Username 2 (Користувач 2). Вони представляють відповідні профілі в Cloud IAM із різними правами доступу. Кожна з таких "ролей" має власні обмеження щодо дій, які відповідний користувач може чи не може виконувати з ресурсами Google Cloud у призначених йому проектах.
googlexxxxxx_student@qwiklabs.net
, вставте їх у поле Email or phone (Електронна адреса чи номер телефону) на сторінці входу й натисніть Next (Далі).googlexxxxxx_student@qwiklabs.net
, вставте їх у поле Email or phone (Електронна адреса чи номер телефону) і натисніть Next (Далі).Тепер у вашому вебпереглядачі має бути відкрито дві вкладки Cloud Console: на одній ви ввійшли як Користувач 1, а на іншій – як Користувач 2.
Іноді профіль користувача на вкладці вебпереглядача може перезаписатись або ви можете забути, який з облікових записів використовується на кожній із вкладок.
Щоб дізнатися, котрий з облікових записів використовується на певній вкладці, наведіть курсор на зображення профілю й перегляньте ім’я користувача.
Щоб змінити профіль користувача на вкладці вебпереглядача, виконайте наведені нижче дії.
Є три ролі:
Це базові ролі в Google Cloud. Вони надають певні дозволи на рівні проекту, а також контролюють можливості доступу й керування у всіх сервісах Google Cloud (якщо в налаштуваннях не вибрано інше).
У таблиці нижче наведено визначення зі статті про базові ролі в Google Cloud IAM, де подається короткий опис дозволів для ролей "Користувач із правами пошуку", "Користувач із правами перегляду", "Редактор" і "Власник".
Назва ролі |
Дозволи |
roles/viewer (користувач із правами перегляду) |
Має дозволи лише для перегляду й дій, що не впливають на стан, зокрема може переглядати наявні ресурси або дані (але не змінювати їх). |
roles/editor (редактор) |
Має всі дозволи користувача з правами перегляду, а також може виконувати дії, що впливають на стан, наприклад змінювати наявні ресурси. |
roles/owner (власник) |
Має всі дозволи редактора, а також може:
|
Оскільки ви можете керувати ролями й дозволами для цього проекту, Користувач 1 є власником.
Тепер перейдіть на вкладку з профілем Username 2 (Користувач 2).
Відкрийте консоль IAM & Admin (Адміністрування й керування ідентифікацією і доступом). Для цього натисніть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM.
У таблиці знайдіть облікові записи Username 1 (Користувач 1) і Username 2 (Користувач 2) й ознайомтеся з наданими їм ролями (їх наведено праворуч від кожного користувача).
Ви побачите, що:
Це один із прикладів того, як ролі IAM впливають на ваші можливості в Google Cloud.
Переконайтеся, що ви ввійшли в Cloud Console як Username 1 (Користувач 1).
Створіть сегмент Cloud Storage з унікальною назвою. У Cloud Console виберіть меню навігації > Cloud Storage > Buckets (Сегменти).
Натисніть +CREATE (+СТВОРИТИ).
Властивість |
Значення |
Name (Назва) |
Укажіть глобально унікальну назву (придумайте її самостійно!) і натисніть CONTINUE (ПРОДОВЖИТИ). |
Location Type (Тип місцезнаходження) |
Multi-Region (Мультирегіон) |
Запам’ятайте назву семента. Вона знадобиться пізніше.
Натисніть CREATE (СТВОРИТИ).
Якщо з’явиться вікно Public access will be prevented (Загальний доступ буде заборонено), натисніть Confirm (Підтвердити).
На сторінці інформації про сегмент натисніть UPLOAD FILES (ЗАВАНТАЖИТИ ФАЙЛИ).
Виберіть потрібний файл на комп’ютері (підійде будь-який файл у форматі .txt або .html).
Натисніть значок із трьома крапками в кінці рядка файлу й виберіть Rename (Перейменувати).
Змініть назву файлу на sample.txt
.
Натисніть RENAME (ПЕРЕЙМЕНУВАТИ).
Щоб підтвердити виконання завдання, натисніть Підтвердити виконання.
Перейдіть на вкладку з профілем Username 2 (Користувач 2).
У Cloud Console виберіть меню навігації > Cloud Storage > Buckets (Сегменти). Переконайтеся, що цей користувач бачить створений сегмент.
Користувач 2 має роль "Користувач із правами перегляду", тобто дозволи лише для читання й дій, що не впливають на стан. Цей приклад показує, як користувач може переглядати сегменти й файли Cloud Storage у проекті Google Cloud, до якого має доступ.
Перейдіть на вкладку з профілем Username 1 (Користувач 1).
Зверніть увагу, що після цього користувач зникне зі списку учасників і більше не матиме доступу до проекту.
Перейдіть на вкладку з профілем Username 2 (Користувач 2) у Cloud Console. Переконайтеся, що профіль з обліковими даними Користувача 2 досі активний і що після скасування дозволів ви не вийшли з проекту (в іншому разі вам потрібно буде ввійти знову, використовуючи відповідні облікові дані).
Поверніться в Cloud Storage, вибравши меню навігації > Cloud Storage > Buckets (Сегменти).
Має з’явитися повідомлення про помилку дозволу.
Щоб підтвердити виконання завдання, натисніть Підтвердити виконання.
Скопіюйте ім’я з поля Username 2 (Користувач 2) на панелі Lab Connection (Підключення).
Перейдіть на вкладку з профілем Username 1 (Користувач 1). Переконайтеся, що профіль з обліковими даними Користувача 1 досі активний (в іншому разі вам потрібно буде ввійти знову, використовуючи відповідні облікові дані).
Виберіть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM (Керування ідентифікацією і доступом).
Натисніть кнопку +GRANT ACCESS (+НАДАТИ ДОСТУП) і вставте ім’я, скопійоване з поля Username 2 (Користувач 2), у поле New principals (Нові учасники).
У полі Select a role (Вибрати роль) зі спадного меню виберіть Cloud Storage > Storage Object Viewer (Користувач із правами перегляду об’єктів Cloud Storage).
Натисніть SAVE (ЗБЕРЕГТИ).
Користувач Username 2 (Користувач 2) не має дозволу на перегляд проекту, тож не зможе відкрити ані цей проект, ані жоден із його ресурсів у Cloud Console. Однак у нього є спеціальні права доступу – роль користувача з правами перегляду об’єктів Cloud Storage. Давайте перевіримо її.
Натисніть Activate Cloud Shell (Активувати Cloud Shell) , щоб відкрити командний рядок Cloud Shell. За потреби натисніть Continue (Продовжити).
Почніть сеанс у Cloud Shell і введіть наведену нижче команду, замінивши фрагмент [YOUR_BUCKET_NAME]
на назву створеного раніше сегмента.
З’явиться схожий результат:
AccessDeniedException
зачекайте кілька хвилин і виконайте команду ще раз.Щоб підтвердити виконання завдання, натисніть Підтвердити виконання.
Під час цієї практичної роботи ви навчилися надавати й скасовувати ролі користувачів у Cloud IAM.
Ця робота також входить до низки практичних робіт під назвою Qwik Starts. Вони призначені для ознайомлення з функціями Google Cloud. Такі практичні роботи можна знайти в каталозі Google Cloud Skills Boost за запитом "Qwik Starts".
…допомагають ефективно використовувати технології Google Cloud. Наші курси передбачають опанування технічних навичок, а також ознайомлення з рекомендаціями, що допоможуть вам швидко зорієнтуватися й вивчити матеріал. Ми пропонуємо курси різних рівнів – від базового до високого. Ви можете вибрати формат навчання (за запитом, онлайн або офлайн) відповідно до власного розкладу. Пройшовши сертифікацію, ви перевірите й підтвердите свої навички та досвід роботи з технологіями Google Cloud.
Посібник востаннє оновлено 15 квітня 2024 року
Практичну роботу востаннє протестовано 8 квітня 2024 року
© Google LLC 2025. Усі права захищено. Назва та логотип Google є торговельними марками Google LLC. Усі інші назви компаній і продуктів можуть бути торговельними марками відповідних компаній, з якими вони пов’язані.