GSP064

Огляд

Сервіс Google Cloud для керування ідентифікацією і доступом (IAM) дає змогу створювати дозволи для ресурсів Google Cloud і керувати ними. Cloud IAM – це єдина система контролю доступу для сервісів Google Cloud з уніфікованим набором функцій.

На цьому практичному занятті вам потрібно буде здійснити вхід за допомогою двох різних наборів облікових даних, тобто в ролях власника проєкту Google Cloud і користувача з правами перегляду. Так ви дізнаєтесь, як надаються й скасовуються дозволи.

Чого ви навчитесь

• Призначати ролі іншим користувачам
• Вилучати призначені ролі в Cloud IAM

Рівень попередньої підготовки

Це практичне заняття початкового рівня, тож для його виконання не обов’язково добре знатися на Cloud IAM. Досвід роботи з Cloud Storage також необов’язковий, однак може бути в пригоді під час цього практичного заняття. Переконайтеся, що на вашому комп’ютері є файл у форматі .txt або .html. Щоб покращити навички роботи з Cloud IAM, виконайте практичне заняття Google Skills із призначення спеціальних ролей в IAM.

Коли будете готові, прокрутіть сторінку вниз і виконайте описані кроки, щоб налаштувати середовище для практичного заняття.

Налаштування й вимоги

Як зазначалося вище, у цьому практичному занятті використовуються два набори облікових даних, щоб ознайомити вас із правилами роботи в IAM і дозволами, доступними для різних ролей.

Ліворуч на панелі Lab Connection (Підключення) у практичному занятті буде наведено такий список облікових даних:

Зверніть увагу, що вам доступні два облікові записи: Username 1 (Користувач 1) і Username 2 (Користувач 2). Вони представляють відповідні профілі в Cloud IAM із різними правами доступу. Кожна з таких "ролей" визначає, які дії відповідний користувач може чи не може виконувати з ресурсами Google Cloud у призначених йому проєктах.

Увійдіть у консоль Cloud за допомогою першого набору облікових даних

1. Натисніть кнопку Open Google Console (Відкрити консоль Google). Відкриється нова вкладка вебпереглядача. Якщо з’явиться вікно Choose an account (Вибір облікового запису), натисніть Use another account (Увійти в інший обліковий запис).
2. Відкриється сторінка входу в Google Cloud. Після цього скопіюйте облікові дані для профілю Username 1 (Користувач 1), які мають вигляд googlexxxxxx_student@qwiklabs.net, вставте їх у поле Email or phone (Електронна адреса чи номер телефону) на сторінці входу й натисніть Next (Далі).
3. Скопіюйте пароль, який указано на панелі Lab Connection (Підключення), і вставте його у відповідне поле на сторінці входу через Google.
4. Натисніть Next (Далі), а потім Accept (Прийняти), щоб погодитися з Умовами використання. Відкриється консоль Cloud. Надайте згоду на дотримання Умов використання й натисніть Agree and Continue (Прийняти й продовжити).

Увійдіть у консоль Cloud за допомогою другого набору облікових даних

1. Знову натисніть кнопку Open Google Console (Відкрити консоль Google). Відкриється нова вкладка вебпереглядача. Якщо на ній з’явиться вікно Choose an account (Вибір облікового запису), натисніть Use another account (Увійти в інший обліковий запис).
2. Відкриється сторінка входу в Google Cloud. Скопіюйте облікові дані для профілю Username 2 (Користувач 2), які мають вигляд googlexxxxxx_student@qwiklabs.net, вставте їх у поле Email or phone (Електронна адреса чи номер телефону) і натисніть Next (Далі).
3. Скопіюйте пароль, який указано на панелі Lab Connection (Підключення), і вставте його у відповідне поле на сторінці входу через Google.
4. Натисніть Next (Далі), а потім Accept (Прийняти), щоб погодитися з Умовами використання. Відкриється консоль Cloud. Надайте згоду на дотримання Умов використання й натисніть Agree and Continue (Прийняти й продовжити).

Тепер у вашому вебпереглядачі має бути відкрито дві вкладки консолі Cloud: на одній ви ввійшли як Користувач 1, а на іншій – як Користувач 2.

Як перевірити чи змінити профіль користувача на вкладці вебпереглядача

Іноді профіль користувача на вкладці вебпереглядача може перезаписатись або ви можете забути, який з облікових записів використовується на кожній із вкладок.

Щоб дізнатися, котрий з облікових записів використовується на певній вкладці, наведіть курсор на аватар і перегляньте ім’я користувача.

Щоб змінити профіль користувача на вкладці вебпереглядача, виконайте наведені нижче дії.

1. Натисніть аватар і виберіть Sign out (Вийти).
2. На панелі Lab Connection (Підключення) натисніть Open Google Console (Відкрити консоль Google) і ввійдіть ще раз, використовуючи правильне ім’я користувача й пароль.

Завдання 1. Ознайомтеся з консоллю IAM і ролями на рівні проєкту

1. Поверніться на сторінку консолі Cloud, де ви ввійшли як Username 1 (Користувач 1).
2. Виберіть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM. Відкриється консоль IAM & Admin (Адміністрування й керування ідентифікацією і доступом).
3. Угорі сторінки натисніть кнопку +GRANT ACCESS (+НАДАТИ ДОСТУП).
4. У розділі Select a role (Виберіть роль) прокрутіть сторінку до пункту Basic (Основні) і наведіть на нього курсор миші.

Є три ролі:

• редактор;
• власник;
• користувач із правами перегляду.

Це базові ролі в Google Cloud. Вони надають певні дозволи на рівні проєкту, а також визначають можливості доступу й керування в усіх сервісах Google Cloud (якщо в налаштуваннях не вибрано інше).

У таблиці нижче наведено визначення зі статті про базові ролі в Google Cloud IAM, де подається короткий опис дозволів для ролей "Користувач із правами пошуку", "Користувач із правами перегляду", "Редактор" і "Власник".

Оскільки ви можете керувати ролями й дозволами для цього проєкту, Користувач 1 є власником.

4. Натисніть CANCEL (СКАСУВАТИ), щоб вийти з панелі Add principal (Додати принципал).

Ознайомтеся з роллю редактора

Тепер перейдіть на вкладку з профілем Username 2 (Користувач 2).

1. Відкрийте консоль IAM & Admin (Адміністрування й керування ідентифікацією і доступом). Для цього натисніть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM.

2. У таблиці знайдіть облікові записи Username 1 (Користувач 1) і Username 2 (Користувач 2) та ознайомтеся з наданими їм ролями (їх наведено праворуч від кожного користувача).

Ви побачите, що:

• Користувач 2 має роль "Користувач із правами перегляду";
• кнопка +GRANT ACCESS (+НАДАТИ ДОСТУП) угорі затінена, тож якщо ви натиснете її, з’явиться повідомлення "You need permissions for this action. Required permission(s): resource manager.projects.setIamPolicy" ("Для виконання цієї дії потрібні відповідні дозволи, а саме: resource manager.projects.setIamPolicy").

Це один із прикладів того, як ролі IAM впливають на ваші можливості в Google Cloud.

3. Щоб виконати наступний крок, поверніться на вкладку з профілем Username 1 (Користувач 1).

Завдання 2. Підготуйте сегмент Cloud Storage для перевірки доступу

Переконайтеся, що ви ввійшли в консоль Cloud як Username 1 (Користувач 1).

Створіть сегмент

1. Створіть сегмент Cloud Storage з унікальною назвою. У консолі Cloud виберіть меню навігації > Cloud Storage > Buckets (Сегменти).

2. Натисніть +CREATE (+СТВОРИТИ).

3. Заповніть перелічені нижче поля, а всі інші залиште без змін.

Запам’ятайте назву семента. Вона знадобиться пізніше.

4. Натисніть CREATE (СТВОРИТИ).

5. Якщо з’явиться вікно Public access will be prevented (Загальний доступ буде заборонено), натисніть Confirm (Підтвердити).

Завантажте тестовий файл

1. На сторінці інформації про сегмент натисніть UPLOAD FILES (ЗАВАНТАЖИТИ ФАЙЛИ).

2. Виберіть потрібний файл на комп’ютері (підійде будь-який файл у форматі .txt або .html).

3. Натисніть значок із трьома крапками в кінці рядка файлу й виберіть Rename (Перейменувати).

4. Змініть назву файлу на sample.txt.

5. Натисніть RENAME (ПЕРЕЙМЕНУВАТИ).

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання.

Перевірте доступ для користувача з правами перегляду для проєкту

1. Перейдіть на вкладку з профілем Username 2 (Користувач 2).

2. У консолі Cloud виберіть меню навігації > Cloud Storage > Buckets (Сегменти). Переконайтеся, що цей користувач бачить створений сегмент.

Користувач 2 має роль "Користувач із правами перегляду", тобто дозволи лише для читання й дій, що не впливають на стан. Цей приклад показує, як користувач може переглядати сегменти й файли Cloud Storage у проєкті Google Cloud, до якого має доступ.

Завдання 3. Скасуйте доступ до проєкту

Перейдіть на вкладку з профілем Username 1 (Користувач 1).

Скасуйте дозвіл на перегляд проєкту для Користувача 2

1. Виберіть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM. Потім натисніть значок олівця праворуч від облікового запису Username 2 (Користувач 2).

2. Вилучіть дозвіл на перегляд проєкту для облікового запису Username 2 (Користувач 2), натиснувши значок кошика поруч із назвою ролі, а потім виберіть SAVE (ЗБЕРЕГТИ).

Зверніть увагу, що після цього користувач зникне зі списку учасників і більше не матиме доступу до проєкту.

Переконайтеся, що Користувач 2 більше не має доступу

1. Перейдіть на вкладку з профілем Username 2 (Користувач 2) у консолі Cloud. Переконайтеся, що профіль з обліковими даними Користувача 2 досі активний і що після скасування дозволів ви не вийшли з проєкту (в іншому разі вам потрібно буде ввійти знову, використовуючи відповідні облікові дані).

2. Поверніться в Cloud Storage, вибравши меню навігації > Cloud Storage > Buckets (Сегменти).

Має з’явитися повідомлення про помилку дозволу.

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання.

Завдання 4. Додайте дозволи Cloud Storage

1. Скопіюйте ім’я з поля Username 2 (Користувач 2) на панелі Lab Connection (Підключення).

2. Перейдіть на вкладку з профілем Username 1 (Користувач 1). Переконайтеся, що профіль з обліковими даними Користувача 1 досі активний (в іншому разі вам потрібно буде ввійти знову, використовуючи відповідні облікові дані).

3. Виберіть меню навігації > IAM & Admin (Адміністрування й керування ідентифікацією і доступом) > IAM.

4. Натисніть кнопку +GRANT ACCESS (+НАДАТИ ДОСТУП) і вставте ім’я, скопійоване з поля Username 2 (Користувач 2), у поле New principals (Нові принципали).

5. У полі Select a role (Вибрати роль) зі спадного меню виберіть Cloud Storage > Storage Object Viewer (Користувач із правами перегляду об’єктів Cloud Storage).

6. Натисніть SAVE (ЗБЕРЕГТИ).

Перевірте наявність доступу

1. Перейдіть на вкладку з профілем Username 2 (Користувач 2). На ній досі має бути відкрито сторінку Cloud Storage.

Користувач Username 2 (Користувач 2) не має дозволу на перегляд проєкту, тож не зможе відкрити ані цей проєкт, ані жоден із його ресурсів у консолі. Однак у нього є спеціальні права доступу – роль користувача з правами перегляду об’єктів Cloud Storage. Спробуйте її перевірити.

2. Натисніть Activate Cloud Shell (Активувати Cloud Shell) , щоб відкрити командний рядок Cloud Shell. За потреби натисніть Continue (Продовжити).

3. Почніть сеанс у Cloud Shell і введіть наведену нижче команду, замінивши фрагмент [YOUR_BUCKET_NAME] на назву створеного раніше сегмента.

Вивід має бути таким:

4. Як бачите, користувач Username 2 (Користувач 2) отримав дозвіл на перегляд сегмента Cloud Storage.

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання.

Вітаємо!

Під час цього практичного заняття ви навчилися надавати й скасовувати ролі користувачів у Cloud IAM.

Наступні кроки/Докладніше

Це заняття також входить до низки практичних занять під назвою Qwik Starts. Вони призначені для ознайомлення з функціями Google Cloud. Такі практичні заняття можна знайти в каталозі Google Skills за запитом "Qwik Starts".

Навчання й сертифікація Google Cloud

…допомагають ефективно використовувати технології Google Cloud. Наші курси передбачають опанування технічних навичок, а також ознайомлення з рекомендаціями, що допоможуть вам швидко зорієнтуватися й вивчити матеріал. Ми пропонуємо курси різних рівнів – від базового до високого. Ви можете вибрати формат навчання (за запитом, онлайн або офлайн) відповідно до власного розкладу. Пройшовши сертифікацію, ви перевірите й підтвердите свої навички та досвід роботи з технологіями Google Cloud.

Посібник востаннє оновлено 15 квітня 2024 року

Практичне заняття востаннє протестовано 8 квітня 2024 року

© Google LLC 2026. Усі права захищено. Назва та логотип Google є торговельними марками Google LLC. Усі інші назви компаній і продуктів можуть бути торговельними марками відповідних компаній, з якими вони пов’язані.