איך נותנים תפקידים ב-IAM באמצעות Cloud de Confiance מסוף
במאמר הזה מוסבר איך משתמשים במסוף Cloud de Confiance כדי להקצות תפקידי IAM לחשבונות משתמשים ברמת הפרויקט.
תוכלו לצפות בסרטון הבא להדרכה מפורטת (אבל מהירה):
לפני שמתחילים
יצירת Cloud de Confiance פרויקט
במדריך הזה למתחילים תצטרכו ליצור פרויקט חדש Cloud de Confiance .
-
מוודאים שיש לכם את תפקיד ה-IAM 'Project Creator' (
roles/resourcemanager.projectCreator). איך מקצים תפקידים -
נכנסים לדף לבחירת הפרויקט במסוף Cloud de Confiance .
-
לוחצים על יצירת פרויקט.
-
נותנים שם לפרויקט. רושמים או זוכרים את מזהה הפרויקט שנוצר.
-
עורכים את שאר השדות לפי הצורך.
-
לוחצים על יצירה.
חשוב לוודא שיש לכם את התפקידים הנדרשים
-
נכנסים לדף IAM במסוף Cloud de Confiance .
כניסה לדף IAM - בוחרים את הפרויקט.
-
בעמודה Principal (חשבון המשתמש), מוצאים את כל השורות שבהן מופיע השם שלכם או של קבוצה שאתם נכללים בה. כדי לברר באילו קבוצות אתם נכללים, פנו לאדמין.
- בודקים את העמודה Role בכל השורות שבהן מצוין או מופיע השם שלכם, כדי לראות אם רשימת התפקידים כוללת את התפקידים הנדרשים.
-
נכנסים לדף IAM במסוף Cloud de Confiance .
כניסה לדף IAM - בוחרים את הפרויקט.
- לוחצים על Grant access.
-
בשדה New principals, מזינים את מזהה המשתמש. בדרך כלל זה המזהה של משתמש במאגר זהויות של כוח עבודה. למידע נוסף, קראו את המאמר ייצוג המשתמשים במאגרי כוח עבודה בכללי מדיניות IAM או פנו לאדמין שלכם.
- לוחצים על Select a role ומחפשים את התפקיד.
- כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים אותם.
- לוחצים על Save.
צריך לוודא שיש לכם בפרויקט את התפקיד או התפקידים הבאים: אדמין IAM בפרויקט
בדיקת התפקידים
מתן התפקידים
הפעלת ממשקי ה-API
מפעילים את ממשקי ה-API של IAM ושל מנהל המשאבים.
תפקידים שנדרשים להפעלת ממשקי API
כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים
מתן תפקידים ב-IAM
נותנים לחשבון המשתמש את התפקיד Logs Viewer בפרויקט.
נכנסים לדף IAM במסוף Cloud de Confiance .
בוחרים את הפרויקט החדש.
לוחצים על Grant access.
מזינים מזהה של חשבון המשתמש. לדוגמה,
//iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com.בתפריט הנפתח Select a role, מחפשים את Logs Viewer ולוחצים על Logs Viewer.
לוחצים על Save.
מוודאים שחשבונות המשתמשים והתפקידים התואמים מופיעים בדף של IAM.
זהו! נתתם לחשבון המשתמש תפקיד ב-IAM.
בדיקת ההשפעות של תפקידים ב-IAM
כדי לוודא שלחשבון המשתמש שנתתם לו את התפקיד יש גישה לדפים במסוףCloud de Confiance , מבצעים את הפעולות הבאות:
שולחים את כתובת ה-URL הבאה לחשבון המשתמש שנתתם לו את התפקיד בשלב הקודם:
https://console.cloud.s3nscloud.fr/logs?project=PROJECT_IDכתובת ה-URL הזאת תעביר את חשבון המשתמש לדף Logs Explorer של הפרויקט.
מוודאים שלחשבון המשתמש יש גישה לכתובת ה-URL ושהדף נפתח.
אם חשבון המשתמש ינסה להיכנס לדף אחר במסוף Cloud de Confiance , שאין לו גישה אליו, תופיע הודעת שגיאה.
איך נותנים עוד תפקידים לאותו חשבון ראשי
העניקו לישות המורשית את התפקיד Compute Viewer בנוסף לתפקיד Logs Viewer.
נכנסים לדף IAM במסוף Cloud de Confiance .
מוצאים את השורה של חשבון המשתמש שרוצים לתת לו תפקיד נוסף, ולוחצים על Edit principal בשורה הזו.
בחלונית Edit permissions לוחצים על Add another role.
בתפריט הנפתח Select a role, מחפשים את Compute Viewer ולוחצים על Compute Viewer. לוחצים על Save.
לוחצים על Save.
זהו! לחשבון המשתמש יש עכשיו תפקיד נוסף ב-IAM.
איך מבטלים תפקידים ב-IAM
כך מבטלים את התפקידים שנתתם לחשבון המשתמש בשלבים הקודמים:
מוצאים את השורה של חשבון המשתמש שנתתם לו את התפקידים ולוחצים על Edit principal בשורה הזו.
בחלונית Edit permissions לוחצים על סמל המחיקה ליד התפקידים Logs Viewer ו-Compute Viewer.
לוחצים על Save.
זהו! הסרתם את שני התפקידים מחשבון המשתמש. אם החשבון ינסה להיכנס לדף Logs Explorer, תתקבל הודעת השגיאה הבאה:
You don't have permissions to view logs.
הסרת המשאבים
כדי לא לצבור חיובים לחשבון Cloud de Confiance על המשאבים שבהם השתמשתם בדף הזה, פועלים לפי השלבים הבאים:
כדי להסיר את המשאבים מוחקים את הפרויקט שיצרתם במדריך למתחילים.
- במסוף Cloud de Confiance , נכנסים לדף Manage resources.
- ברשימת הפרויקטים, בוחרים את הפרויקט שרוצים למחוק ולוחצים על Delete.
- כדי למחוק את הפרויקט, כותבים את מזהה הפרויקט בתיבת הדו-שיח ולוחצים על Shut down.