arrow_back

Como configurar o IAM

Fazer login Inscreva-se
Acesse mais de 700 laboratórios e cursos

Como configurar o IAM

Laboratório 1 hora universal_currency_alt 5 créditos show_chart Introdutório
info Este laboratório pode incorporar ferramentas de IA para ajudar no seu aprendizado.
Acesse mais de 700 laboratórios e cursos

Informações gerais

Neste laboratório, você vai configurar o Identity and Access Management (IAM) para atribuir papéis e criar outros personalizados. Com o IAM, é possível criar e gerenciar permissões para os recursos do Google Cloud. O IAM unifica o controle de acesso dos serviços do Google Cloud em um só sistema e apresenta um conjunto consistente de operações.

Objetivos

Neste laboratório, você vai aprender a:

  • Usar o IAM para implementar o controle de acesso.
  • Restringir o acesso a recursos específicos.
  • Usar papéis predefinidos para conceder acesso ao Google Cloud.
  • Criar papéis personalizados do IAM para conceder permissões com base nas suas próprias funções.
  • Modificar papéis personalizados.

Configuração e requisitos

Para cada laboratório, você recebe um novo projeto do Google Cloud e um conjunto de recursos por um determinado período e sem custos financeiros.

  1. Faça login no Qwiklabs em uma janela anônima.

  2. Confira o tempo de acesso do laboratório (por exemplo, 1:15:00) e finalize todas as atividades nesse prazo.
    Não é possível pausar o laboratório. Você pode reiniciar o desafio, mas vai precisar refazer todas as etapas.

  3. Quando tudo estiver pronto, clique em Começar o laboratório.

  4. Anote as credenciais (Nome de usuário e Senha). É com elas que você vai fazer login no Console do Google Cloud.

  5. Clique em Abrir Console do Google.

  6. Clique em Usar outra conta, depois copie e cole as credenciais deste laboratório nos locais indicados.
    Se você usar outras credenciais, vai receber mensagens de erro ou cobranças.

  7. Aceite os termos e pule a página de recursos de recuperação.

Tarefa 1: fazer login em duas contas de usuário

Nesta tarefa, você vai fazer login usando duas contas de usuário diferentes. Elas serão usadas mais adiante no laboratório para abordar o acesso do IAM a recursos específicos.

Faça login no console do Google Cloud como o primeiro usuário

Para este laboratório, o Qwiklabs disponibilizou dois nomes de usuário na caixa de diálogo Detalhes da conexão.

  1. Use uma janela anônima do Chrome e faça login no console do Cloud com o Nome de usuário 1 informado no Qwiklabs. A senha é a mesma para os dois nomes de usuário.
  2. Aceite os Termos e Condições da sua conta temporária do Google.
  3. Como essa é uma conta temporária, não acrescente dados de opções de recuperação nem se inscreva para testes gratuitos.
  4. Quando solicitado, aceite os Termos e Condições do Google Cloud.

Faça login no console do Cloud como o segundo usuário

  1. Abra outra guia do navegador na janela anônima.
  2. Acesse o console do Cloud.
  3. Clique no ícone do usuário no canto superior direito da tela e depois em Adicionar conta.
  4. Faça login no console do Cloud com o Nome de usuário 2 incluído no Qwiklabs.
Observação: se você sair da conta do Nome de usuário 1 em algum momento durante o laboratório, a conta do Nome de usuário 2 será excluída pelo Qwiklabs. Não saia da conta do Nome do usuário 1.

Tarefa 2: acessar os papéis atuais no console do IAM

Nesta tarefa, você vai conhecer os papéis atuais do Nome do usuário 1 e do Nome do usuário 2.

Acesse o console do IAM e conheça os papéis

Você precisa estar na guia do console do Cloud com o Nome de usuário 1.

  1. Para acessar o console do IAM, no Menu de navegação, clique em IAM e administrador > IAM.
  2. No console do IAM, encontre a linha do Nome do usuário 1. Note que o Nome do usuário 1 tem alguns papéis, incluindo Proprietário do projeto.
  3. Ache a linha do Nome do usuário 2. Note que o Nome do usuário 2 tem um papel Leitor do projeto.
Observação: nas próximas três etapas, NÃO mude as permissões. Você vai usar o recurso edição apenas para consultar os papéis atribuídos.
  1. Clique no botão "Editar principal" Ícone "Editar" na linha do Nome do usuário 2.
  2. Clique em Leitor para expandir a lista de papéis possíveis. Como o Nome do usuário 1 é proprietário do projeto, você tem permissões para alterar os papéis, mas não faça isso agora.
  3. Feche a lista de papéis clicando fora dela e depois clique em Cancelar.
  4. Mude para a guia do console do Cloud do Nome do usuário 2.
  5. No Menu de navegação, clique em IAM e administrador > IAM.
  6. Clique no botão "Editar principal" Ícone "Editar" na linha do Nome do usuário 2. Você não vai conseguir editar o papel. O Nome do usuário 2 atualmente pode acessar o projeto (Leitor do projeto), mas não tem permissão para alterar nada.

Tarefa 3: preparar um recurso para teste de acesso

Nesta tarefa, você vai criar um bucket do Cloud Storage e um arquivo de texto de amostra. Você vai testar o acesso a esse arquivo usando o Nome do usuário 2.

Crie um bucket e faça upload de um arquivo de amostra

  1. Mude para a guia com o Nome de usuário 1 no console do Cloud.
  2. Na barra de título do console do Google Cloud, clique em Ativar o Cloud Shell (Ícone "Ativar Cloud Shell"). Caso solicitado, clique em Continuar.
  3. Execute o comando abaixo para criar um bucket de armazenamento em :
gcloud storage buckets create -l {{{project_0.default_region | Region}}} gs://$DEVSHELL_PROJECT_ID
  1. Execute o comando abaixo para criar um arquivo de texto de amostra no Cloud Shell:
echo "this is a sample file" > sample.txt
  1. Execute o comando abaixo para copiar o arquivo para o bucket recém-criado:
gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID

Clique em Verificar meu progresso para conferir o objetivo. Preparar um recurso para testar o acesso

Verifique o acesso do papel Leitor do Projeto

  1. Mude para a guia com o Nome de usuário 2 no console do Cloud.
  2. Clique em Ativar o Cloud Shell (Ícone "Ativar Cloud Shell") para abri-lo. Se for solicitado, clique em Continuar.
  3. Execute o comando abaixo para verificar se o Nome de usuário 2 pode ler o arquivo no bucket:
gcloud storage ls gs://$DEVSHELL_PROJECT_ID
  1. Execute os comandos abaixo para criar um arquivo e tentar fazer o upload dele para o bucket:
echo "this is another file" > sample2.txt gcloud storage cp sample2.txt gs://$DEVSHELL_PROJECT_ID

O Nome de usuário 2 não pode fazer o upload do arquivo para o Cloud Storage porque ele só tem o papel Leitor do projeto.

Saída:

Copying file://sample2.txt ERROR: User xxx does not have permission to access b instance (or it may not exist): student-xx-xxxx@qwiklabs.net does not have storage.objects.create access to the Google Cloud Storage object.

Tarefa 4: remover o acesso ao projeto

Nesta tarefa, você vai remover o papel de Leitor do Projeto do Nome do usuário 2. Verifique se o Nome do usuário 2 perdeu o acesso ao bucket do Cloud Storage.

Remova o papel de Leitor do Projeto do Nome de usuário 2

  1. Mude para a guia com o Nome de usuário 1 no console do Cloud.
  2. No Menu de navegação, clique em IAM e administrador > IAM.
  3. Em Nome do usuário 2, clique no botão de ícone de lápis (Ícone "Editar") para editar.
  4. Clique no ícone de exclusão ao lado do papel atribuído.
  5. Clique em Salvar.

Note que o usuário foi excluído da lista e, portanto, não tem mais acesso ao projeto. O Nome de usuário 2 ainda tem uma conta do Google Cloud, mas não tem acesso ao projeto.

Verifique se o Nome de usuário 2 teve o acesso removido

  1. Mude para a guia com o Nome de usuário 2 no console do Cloud.
  2. Execute o comando abaixo no Cloud Shell para verificar se o Nome de usuário 2 não consegue mais acessar o arquivo no bucket:
gcloud storage ls gs://$DEVSHELL_PROJECT_ID

Saída:

ERROR: User xxx does not have permission to access b instance (or it may not exist): student-xx-xxxx@qwiklabs.net does not have storage.objects.list access to the Google Cloud Storage bucket.
  1. Se o arquivo aparecer, a alteração no acesso ainda não entrou em efeito. Aguarde um minuto e tente o comando novamente até que a mensagem Permission denied on resource apareça.
  2. No console do Nome de usuário 2, tente acessar o serviço Compute Engine. No Menu de navegação, clique em Compute Engine > Instâncias de VM. Não será possível acessar o painel do Compute Engine.

Acesso extra necessário

Observação: o Nome de usuário 2 ainda tem uma conta do Google Cloud, mas não tem acesso ao projeto pelo console do Cloud nem pela CLI.

Tarefa 5: incluir acesso de armazenamento

Nesta tarefa, você vai adicionar permissões de leitura dos objetos do Storage para o Nome do usuário 2 e verificar se o usuário pode acessar o conteúdo do bucket do Cloud Storage.

Adicione permissões de acesso de leitura dos objetos do Storage para o Nome do usuário 2

  1. Copie o valor do Nome de usuário 2 da caixa de diálogo Detalhes da conexão do Qwiklabs.
  2. Mude para a guia com o Nome de usuário 1 no console do Cloud.
  3. No Menu de navegação, clique em IAM e administrador > IAM.
  4. Clique em CONCEDER ACESSO para adicionar um usuário.
  5. Em Novos principais, cole o valor do Nome de usuário 2 que você copiou da caixa de diálogo Detalhes da conexão do Qwiklabs.

Na próxima etapa, você vai usar um papel predefinido para dar permissões de Leitor de objetos do Storage ao Nome do usuário 2. Fique à vontade para conhecer os papéis predefinidos disponíveis.

  1. Em Selecionar papel, selecione Cloud Storage > Leitor de objetos do Storage.

  2. Clique em Salvar.

Verifique se o Nome de usuário 2 tem acesso ao Storage

  1. Mude para a guia com o Nome de usuário 2 no console do Cloud.
Observação: o Nome do usuário 2 não tem o papel Leitor do projeto e, portanto, não pode acessar o projeto nem os recursos dele no console. Por exemplo, o Nome do usuário 2 ainda não pode acessar o painel do Compute Engine. No entanto, o Nome do usuário 2 tem acesso específico ao Cloud Storage e pode fazer chamadas de API para acessá-lo.
  1. Execute o comando abaixo no Cloud Shell para acessar o conteúdo do bucket que você criou:
gcloud storage ls gs://$DEVSHELL_PROJECT_ID

Note que o Nome de usuário 2 agora tem acesso limitado ao Cloud Storage.

Tarefa 6: criar papéis personalizados

Nesta tarefa, você vai criar um papel personalizado para uma função de Revisor de privacidade. Alguém com esse papel realiza revisões de privacidade de dados e precisa de permissões para acessar dados em vários serviços diferentes, como o Cloud Storage, o Cloud Bigtable e o Cloud Spanner

O Google Cloud também permite a criação de papéis personalizados. Esses papéis podem ser usados para associar as funções específicas da sua organização às permissões do Google Cloud. Um papel personalizado pode combinar permissões de diversos serviços do Google Cloud em um só papel que pode ser compartilhado em toda a organização.

Observação: geralmente, é melhor começar usando papéis predefinidos, porque eles são gerenciados pelo Google. Criar e usar papéis personalizados possibilita a definição de permissões específicas, mas aumenta a sobrecarga operacional porque eles precisam de gerenciamento manual.

Os papéis personalizados também podem ser criados com base em um papel predefinido. Contudo, se o papel predefinido que serviu de base para o papel personalizado for alterado, as alterações não serão herdadas.

Para criar um papel personalizado, a pessoa que realiza a chamada precisa da permissão iam.roles.createpermission. Por padrão, o proprietário do projeto ou da organização a tem e pode criar e gerenciar esses papéis. Neste laboratório, o Nome do usuário 1 é um proprietário do projeto.

Crie um papel personalizado usando o console do Cloud

  1. Mude para a guia com o Nome de usuário 1 no console do Cloud.
  2. No Menu de navegação, clique em IAM e administrador > Papéis. Esta página mostra todos os papéis predefinidos. Note que eles são muitos (são centenas de páginas).
  3. Clique em Criar papel.
  4. Use os valores abaixo para as propriedades do papel:

Título

Descrição

ID

Etapa da criação do papel

Privacy Reviewer

Custom role to perform data reviews

privacyreviewer

Alfa

Confira abaixo a descrição de cada um dos valores de marcador:

  • Título é um nome simples para o papel, como "Leitor de papéis".
  • Descrição é uma breve declaração sobre o papel, como "Descrição do papel personalizado".
  • ID precisa ser exclusivo.
  • Etapa da criação do papel indica o estágio de um papel no ciclo de vida do lançamento, como Alfa, Beta, GA ou Desativado.
  1. Clique em Adicionar permissões
  2. No campo Filtro, digite storage e pressione Enter.
  3. Selecione storage.buckets.list, storage.objects.list e storage.objects.get, e depois clique em Adicionar. Caixa de diálogo "Adicionar permissões" filtrada para listar as funções de armazenamento
Observação: para adicionar as permissões necessárias, talvez você precise conferir as próximas páginas.
  1. Clique em Adicionar permissões de novo.
  2. No campo Filtro, digite spanner e pressione Enter.
  3. Selecione spanner.databases.get e spanner.databases.list, e depois clique em Adicionar.
  4. Clique em Adicionar permissões de novo.
  5. No campo Filtro, digite bigtable e pressione Enter.
  6. Selecione bigtable.tables.get, bigtable.tables.list e bigtable.tables.readRows, e depois clique em Adicionar.

Suas permissões devem aparecer assim:

Oito permissões atribuídas

  1. Clique em Criar.

O novo papel personalizado vai aparecer na parte de cima da tabela "Papéis".

Crie um papel personalizado usando o arquivo YAML e a CLI

  • Também é possível criar papéis usando a CLI e um arquivo YAML. O arquivo YAML contém a definição do papel e tem a seguinte forma:
title: [ROLE_TITLE] description: [ROLE_DESCRIPTION] stage: [LAUNCH_STAGE] includedPermissions: - [PERMISSION_1] - [PERMISSION_2]
  • O YAML para o papel recém-criado no console do Cloud será assim:
title: Privacy Reviewer description: Custom role to perform data reviews stage: ALPHA includedPermissions: - storage.buckets.list - storage.objects.list - storage.objects.get - spanner.databases.get- spanner.databases.list - bigtable.tables.get - bigtable.tables.list - bigtable.tables.readRows

Não copie o arquivo YAML acima. Você vai criar um papel diferente usando a CLI.

  1. Verifique se você ainda está na guia do navegador do Nome do usuário 1 e depois abra o Cloud Shell se ele não estiver aberto.

  2. Para criar um novo arquivo chamado role.yaml, execute o seguinte comando:

nano role.yaml
  1. Copie a definição de papel abaixo e cole no editor nano do Cloud Shell:
title: App Viewer description: Custom role to view apps stage: ALPHA includedPermissions: - compute.instances.get - compute.instances.list - appengine.versions.get - appengine.versions.list
  1. Pressione CTRL+X,, Y e depois pressione Enter para salvar o arquivo.
  2. Para criar um papel novo, execute o seguinte comando:
gcloud iam roles create app_viewer --project \ $DEVSHELL_PROJECT_ID --file role.yaml

A saída a seguir vai aparecer.

Saída:

Created role [app_viewer]. description: Custom role to view apps etag: BwVshqVuvBs= includedPermissions: - appengine.versions.get - appengine.versions.list - compute.instances.get - compute.instances.list name: projects/xxxxxxxxxx/roles/app_viewer stage: ALPHA title: App Viewer
  1. Para listar todos os papéis personalizados no seu projeto, execute o seguinte comando:
gcloud iam roles list --project $DEVSHELL_PROJECT_ID

Os papéis que você criou vão aparecer.

Clique em Verificar meu progresso para conferir o objetivo. Criar papéis personalizados

Tarefa 7: usar um papel personalizado

Nesta tarefa, você vai criar um papel personalizado e atribuí-lo ao Nome do usuário 2.

  1. Você precisa estar na guia do console do Cloud com o Nome de usuário 1.
  2. No Menu de navegação, clique em IAM e administrador > IAM.
  3. No console do IAM, encontre a linha do Nome do usuário 2 e clique no botão "Editar principal" (Ícone "Editar"). O Nome do usuário 2 precisa ter o papel Leitor de objetos do Storage.
  4. Clique em Adicionar outro papel e depois em Selecionar um papel.
  5. Na categoria Personalizado, selecione um dos papéis que você criou.
  6. Clique em Salvar.

Você atribuiu Nome do usuário 2 a um dos seus papéis personalizados.

Tarefa 8: manter papéis personalizados

Nesta tarefa, você vai modificar, desativar, excluir e cancelar a exclusão de um papel personalizado.

Ao usar papéis personalizados, é importante monitorar quais permissões são associadas aos papéis que você criar, porque as permissões disponíveis para serviços do Google Cloud evoluem e mudam com o passar do tempo. Ao contrário dos papéis predefinidos do Google Cloud, é você que controla se e quando as permissões serão adicionadas ou removidas.

Modifique as permissões dos papéis

Para alterar um papel, antes você precisa atualizar a definição do papel. Depois disso, será possível atualizá-lo.

  1. Você precisa estar na guia do console do Cloud com o Nome de usuário 1.
  2. Para recuperar a definição do papel app_viewer, execute o seguinte comando no Cloud Shell:
gcloud iam roles describe app_viewer --project \ $DEVSHELL_PROJECT_ID

Ao usar o comando "describe", a seguinte resposta será retornada:

Saída:

description: Custom role to view apps etag: [Etag value] includedPermissions: - appengine.versions.get - appengine.versions.list - compute.instances.get - compute.instances.list name: projects/[Project_ID]/roles/app_viewer stage: DISABLED title: App Viewer
  1. Copie a resposta do comando "describe". Não esqueça de copiar da linha description até a linha title.
  2. Execute o comando abaixo para criar um novo arquivo YAML:
nano update-role.yaml
  1. Cole a resposta do comando "describe" no editor nano.
  2. Logo abaixo das linhas includedPermissions:, acrescente estas duas linhas:
- container.clusters.get - container.clusters.list
  1. Pressione CTRL+X,, Y e depois pressione Enter para salvar o arquivo.
  2. Para atualizar o papel app_viewer, execute o seguinte comando:
gcloud iam roles update app_viewer --project \ $DEVSHELL_PROJECT_ID --file update-role.yaml

O papel app_viewer foi atualizado e duas permissões foram adicionadas.

Clique em Verificar meu progresso para conferir o objetivo. Modificar as permissões dos papéis

Desative um papel

É possível desativar papéis personalizados. Quando um papel é desativado, as vinculações de políticas relacionadas a ele ficam inativas e as permissões se tornam inválidas, mesmo que esse papel seja concedido a um usuário.

  1. Você precisa estar na guia do console do Cloud com o Nome de usuário 1.
  2. Para desativar o papel app_viewer já criado neste laboratório, execute o seguinte comando no Cloud Shell:
gcloud iam roles update app_viewer --project \ $DEVSHELL_PROJECT_ID --stage DISABLED

Exclua um papel

Os papéis excluídos são suspensos e não podem ser usados para criar novas vinculações de políticas do IAM. As vinculações permanecem após a exclusão, mas ficam inativas. É possível cancelar a exclusão do papel em até sete dias. Após esse período, ele entra em um processo de exclusão permanente que dura 30 dias.

  1. Você precisa estar na guia do console do Cloud com o Nome de usuário 1.
  2. Para excluir o papel app_viewer criado neste laboratório, execute o seguinte comando no Cloud Shell:
gcloud iam roles delete app_viewer --project \ $DEVSHELL_PROJECT_ID
  1. Para listar todos os papéis do projeto, execute o seguinte comando:
gcloud iam roles list --project $DEVSHELL_PROJECT_ID

Note que o papel app_viewer excluído não está listado.

  1. Para listar todos os papéis do projeto, incluindo os que foram excluídos, execute o seguinte comando:
gcloud iam roles list --project $DEVSHELL_PROJECT_ID \ --show-deleted

Cancele a exclusão de um papel

A exclusão de um papel pode ser cancelada em até sete dias.

  1. Para cancelar a exclusão do papel app_viewer, execute o seguinte comando no Cloud Shell:
gcloud iam roles undelete app_viewer --project \ $DEVSHELL_PROJECT_ID
  1. Para listar todos os papéis do projeto, execute o seguinte comando:
gcloud iam roles list --project $DEVSHELL_PROJECT_ID

Note que o papel app_viewer voltou a ser listado.

Revisão

Neste laboratório, você:

  1. Usou o IAM para implementar o controle de acesso.

  2. Restringiu o acesso a recursos específicos.

  3. Usou papéis predefinidos para conceder acesso ao Google Cloud.

  4. Criou papéis personalizados do IAM para conceder permissões com base nas suas próprias funções.

  5. Modificou papéis personalizados.

Finalize o laboratório

Clique em Terminar o laboratório após a conclusão. O Google Cloud Ensina remove os recursos usados e limpa a conta por você.

Você vai poder avaliar sua experiência no laboratório. Basta selecionar o número de estrelas, digitar um comentário e clicar em Enviar.

O número de estrelas indica o seguinte:

  • 1 estrela = muito insatisfeito
  • 2 estrelas = insatisfeito
  • 3 estrelas = neutro
  • 4 estrelas = satisfeito
  • 5 estrelas = muito satisfeito

Feche a caixa de diálogo se não quiser enviar feedback.

Para enviar seu feedback, fazer sugestões ou correções, use a guia Suporte.

Copyright 2025 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos podem ser marcas registradas das empresas a que estão associados.

Antes de começar

  1. Os laboratórios criam um projeto e recursos do Google Cloud por um período fixo
  2. Os laboratórios têm um limite de tempo e não têm o recurso de pausa. Se você encerrar o laboratório, vai precisar recomeçar do início.
  3. No canto superior esquerdo da tela, clique em Começar o laboratório

Usar a navegação anônima

  1. Copie o nome de usuário e a senha fornecidos para o laboratório
  2. Clique em Abrir console no modo anônimo

Fazer login no console

  1. Faça login usando suas credenciais do laboratório. Usar outras credenciais pode causar erros ou gerar cobranças.
  2. Aceite os termos e pule a página de recursos de recuperação
  3. Não clique em Terminar o laboratório a menos que você tenha concluído ou queira recomeçar, porque isso vai apagar seu trabalho e remover o projeto

Este conteúdo não está disponível no momento

Você vai receber uma notificação por e-mail quando ele estiver disponível

Ótimo!

Vamos entrar em contato por e-mail se ele ficar disponível

Um laboratório por vez

Confirme para encerrar todos os laboratórios atuais e iniciar este

Use a navegação anônima para executar o laboratório

Para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.