GSP199

Visão geral

As contas de serviço são um tipo especial de Conta do Google que concede permissões a máquinas virtuais, não a usuários finais. Elas são usadas principalmente para garantir conexões seguras e gerenciadas com APIs e serviços do Google Cloud. Conceder acesso a conexões confiáveis e rejeitar as mal-intencionadas é um recurso de segurança obrigatório para qualquer projeto do Google Cloud. Neste laboratório, você terá experiências práticas com os detalhes das contas de serviço.

Conteúdo

Neste curso, você vai aprender a:

• Criar e gerenciar contas de serviço
• Criar uma máquina virtual e associá-la a uma conta de serviço
• Usar bibliotecas de cliente para acessar o BigQuery em uma conta de serviço
• Executar uma consulta em um conjunto de dados público do BigQuery usando uma instância do Compute Engine

Pré-requisitos

É recomendável ter alguma experiência com o Cloud IAM, mas não é necessário que você já saiba como as contas de serviço funcionam. Para ter uma prática mais avançada nesse assunto, confira estes laboratórios:

• Peering de rede VPC
• Como configurar um cluster particular do Kubernetes
• Como criar VPNs de alta capacidade

Configuração e requisitos

Antes de clicar no botão Start Lab

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.

Observação: não use seu projeto ou conta do Google Cloud neste laboratório para evitar cobranças extras na sua conta.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. Se for preciso pagar, você verá um pop-up para selecionar a forma de pagamento. No painel Detalhes do laboratório à esquerda, você verá o seguinte:

   • O botão Abrir Console do Cloud
   • Tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações se forem necessárias

2. Clique em Abrir Console do Google. O laboratório ativa recursos e depois abre outra guia com a página Fazer login.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Caso seja preciso, copie o Nome de usuário no painel Detalhes do laboratório e cole esse nome na caixa de diálogo Fazer login. Clique em Avançar.

4. Copie a Senha no painel Detalhes do laboratório e a cole na caixa de diálogo Olá. Clique em Avançar.

   Importante: você precisa usar as credenciais do painel à esquerda. Não use suas credenciais do Google Cloud Ensina. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

5. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do GCP vai ser aberto nesta guia.

Observação: para ver uma lista dos produtos e serviços do Google Cloud, clique no Menu de navegação no canto superior esquerdo.

Ativar o Cloud Shell

O Cloud Shell é uma máquina virtual com várias ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud. O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

1. Clique em Ativar o Cloud Shell na parte de cima do console do Google Cloud.

Depois de se conectar, vai notar que sua conta já está autenticada, e que o projeto está configurado com seu PROJECT_ID. A saída contém uma linha que declara o projeto PROJECT_ID para esta sessão:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

2. (Opcional) É possível listar o nome da conta ativa usando este comando:

gcloud auth list

3. Clique em Autorizar.

4. A saída será parecida com esta:

Saída:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Opcional) É possível listar o ID do projeto usando este comando:

gcloud config list project

Saída:

[core] project = <project_ID>

Exemplo de saída:

[core] project = qwiklabs-gcp-44776a13dea667a6 Observação: para conferir a documentação completa da gcloud, acesse o guia com informações gerais sobre a gcloud CLI no Google Cloud.

Defina a região do seu projeto

Execute o seguinte comando para definir a região do seu projeto:

gcloud config set compute/region {{{project_0.default_region | Region}}}

O que são contas de serviço?

Uma conta de serviço é uma Conta do Google especial que pertence ao aplicativo ou a uma máquina virtual (VM), e não a um usuário final específico. O aplicativo usa a conta de serviço para chamar a API de um serviço do Google. Assim, os usuários não são diretamente envolvidos.

Por exemplo, uma VM do Compute Engine pode ser executada como uma conta de serviço, e essa conta pode receber permissões para acessar os recursos de que precisa. Assim, essa conta é a identidade do serviço, e as permissões dela controlam quais recursos podem ser acessados por ele.

Uma conta de serviço é identificada pelo endereço de e-mail dela, que é exclusivo.

Tipos de contas de serviço

Contas de serviço gerenciadas pelo usuário

Se você criar um novo projeto do Cloud usando o console do Google Cloud, e se a API Compute Engine estiver ativada para esse projeto, uma conta de serviço do Compute Engine será criada para você, por padrão. Ela é identificável pelo e-mail:

NÚMERO_DO_PROJETO-compute@developer.gserviceaccount.com

Por padrão, uma conta de serviço do App Engine é criada quando o projeto contém um aplicativo dele. Ela é identificável pelo e-mail:

ID_DO_PROJETO@appspot.gserviceaccount.com

Contas de serviço gerenciadas pelo Google

Além das contas de serviço gerenciadas pelo usuário, talvez você encontre algumas outras contas de serviço na política IAM do seu projeto ou no console. Elas são criadas pelo Google e pertencem a ele. Essas contas representam diferentes serviços do Google e cada uma delas recebe automaticamente os papéis do IAM para acessar o projeto do Google Cloud.

Conta de serviço das APIs do Google

Um exemplo de conta de serviço gerenciada pelo Google é a conta de serviço de API do Google, identificável pelo e-mail:

NÚMERO_DO_PROJETO@cloudservices.gserviceaccount.com

Essa conta de serviço foi projetada especificamente para executar processos internos do Google em nome do usuário e não está listada na seção Contas de serviço do console. Por padrão, a conta recebe automaticamente o papel de editor do projeto e fica listada na seção IAM do console. Essa conta de serviço só é excluída quando o projeto é eliminado.

Observação: os serviços do Google dependem do acesso ao projeto. Por isso, não remova nem altere o papel da conta.

Tarefa 1: criar e gerenciar contas de serviço

Quando você cria um novo projeto do Cloud, o Google Cloud cria automaticamente uma conta de serviço do Compute Engine e outra do App Engine no projeto. É possível criar até 98 contas de serviço para o projeto e controlar o acesso aos seus recursos.

Crie uma conta de serviço

Criar uma conta de serviço é semelhante a adicionar um membro ao projeto. A diferença é que essa conta pertence aos aplicativos, e não a um usuário final específico.

• Para criar uma conta de serviço, execute este comando no Cloud Shell:

gcloud iam service-accounts create my-sa-123 --display-name "my service account"

A saída desse comando é a conta de serviço, que parece com o seguinte:

Created service account [my-sa-123]

Como atribuir papéis a contas de serviço

Ao conceder papéis do IAM, é possível tratar uma conta de serviço como recurso ou identidade.

O aplicativo usa essas contas como identidade para autenticação nos serviços do Google Cloud. Por exemplo, se uma máquina virtual (VM) do Google Compute Engine estiver sendo executada como uma conta de serviço, atribua o papel de editor a essa conta (a identidade) em um projeto (o recurso).

Ao mesmo tempo, controle também quem pode iniciar a VM. Para isso, conceda a um usuário (a identidade) o papel serviceAccountUser na conta de serviço (o recurso).

Atribua papéis a uma conta de serviço para recursos específicos

Atribua papéis a uma conta de serviço para que ela tenha permissão para concluir ações específicas nos recursos no projeto do Cloud Platform. Por exemplo, atribua o papel storage.admin a uma conta de serviço para que ela tenha controle sobre objetos e buckets no Cloud Storage.

• Execute este comando no Cloud Shell para conceder papéis à conta de serviço que você acabou de criar:

gcloud projects add-iam-policy-binding $DEVSHELL_PROJECT_ID \ --member serviceAccount:my-sa-123@$DEVSHELL_PROJECT_ID.iam.gserviceaccount.com --role roles/editor

A saída mostra uma lista dos papéis atuais da conta de serviço:

bindings: - members: - user:email1@gmail.com role: roles/owner - members: - serviceAccount:our-project-123@appspot.gserviceaccount.com - serviceAccount:123456789012-compute@developer.gserviceaccount.com - serviceAccount:my-sa-123@my-project-123.iam.gserviceaccount.com - user:email3@gmail.com role: roles/editor - members: - user:email2@gmail.com role: roles/viewer etag: BwUm38GGAQk= version: 1

Clique em Verificar meu progresso para conferir o objetivo. Criar e gerenciar contas de serviço

Tarefa 2: noções básicas sobre papéis

Quando uma identidade chama a API Google Cloud, o Google Cloud Identity and Access Management exige que ela tenha as permissões corretas para usar o recurso. É possível conceder permissões ao atribuir papéis a um usuário, grupo ou conta de serviço.

Tipos de papéis

Há três tipos de papéis no Cloud IAM:

• Papéis primários: incluem os papéis "Proprietário", "Editor" e "Leitor" que já existiam antes da introdução do Cloud IAM.
• Papéis predefinidos: fornecem acesso granular a um serviço específico e são gerenciados pelo Google Cloud.
• Papéis personalizados: oferecem acesso granular de acordo com uma lista de permissões especificada pelo usuário.

Saiba mais sobre os papéis no Guia de noções básicas sobre papéis.

Tarefa 3: usar bibliotecas de cliente para acessar o BigQuery em uma conta de serviço

Nesta seção, você vai consultar os conjuntos de dados públicos do BigQuery em uma instância usando uma conta de serviço que tenha os papéis necessários.

Crie uma conta de serviço

Primeiro, crie uma nova conta de serviço pelo console.

1. Acesse o Menu de navegação > IAM e administrador, selecione Contas de serviço e clique em + Criar conta de serviço.

2. Preencha os detalhes necessários com o seguinte:

• Nome da conta de serviço: bigquery-qwiklab

3. Clique em Criar e continuar e depois acrescente estes papéis:

• Papel: BigQuery > Leitor de dados do BigQuery e BigQuery > Usuário do BigQuery

Seu console mostrará o seguinte:

4. Clique em Continuar e depois em Concluído.

Crie uma instância de VM

1. No console, acesse Compute Engine > Instâncias de VM e clique em Criar instância.

2. Crie sua VM com estas informações:

Configuração	Valor
Nome	bigquery-instance
Região
Zona
Série	E2
Tipo de máquina	e2-medium
Disco de inicialização	Debian GNU/Linux 11 (bullseye)
Conta de serviço	bigquery-qwiklab

Observação: se a conta de serviço "bigquery-qwiklab" não aparece na lista suspensa, informe o nome na seção "Filtro".

3. Clique em Criar.

Insira o código de exemplo em uma instância do Compute Engine

1. No console, acesse Compute Engine > Instâncias de VM.
2. Use SSH em bigquery-instance clicando no botão SSH.

Observação: ao se conectar ao SSH, é possível clicar em Conectar sem o Identity-Aware Proxy.

Na janela SSH, instale as dependências necessárias executando estes comandos:

sudo apt-get update sudo apt-get install -y git python3-pip pip3 install --upgrade pip pip3 install google-cloud-bigquery pip3 install pyarrow pip3 install pandas pip3 install db-dtypes

Agora crie o arquivo Python de exemplo:

echo " from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='YOUR_SERVICE_ACCOUNT') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project='{{{project_0.project_id | Your Project ID}}}', credentials=credentials) print(client.query(query).to_dataframe()) " > query.py

Adicione o ID do projeto a query.py:

sed -i -e "s/{{{project_0.project_id | Your Project ID}}}/$(gcloud config get-value project)/g" query.py

Execute o seguinte para descobrir se o comando sed alterou o ID do projeto no arquivo:

cat query.py

Exemplo de resposta (talvez a sua seja diferente):

from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='YOUR_SERVICE_ACCOUNT') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project={{{ project_0.project_id }}}, credentials=credentials) print(client.query(query).to_dataframe())

Adicione o e-mail da conta de serviço a query.py:

sed -i -e "s/SUA_CONTA_DE_SERVIÇO/bigquery-qwiklab@$(gcloud config get-value project).iam.gserviceaccount.com/g" query.py

Execute o código abaixo para conferir se o comando sed alterou o e-mail da conta de serviço no arquivo:

cat query.py

Exemplo de resposta (talvez a sua seja diferente):

from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='bigquery-qwiklab@{{{ project_0.project_id }}}.iam.gserviceaccount.com') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project={{{ project_0.project_id }}}, credentials=credentials) print(client.query(query).to_dataframe())

O aplicativo agora está usando as permissões associadas a essa conta de serviço. Execute a consulta com o seguinte comando do Python:

python3 query.py

A consulta deve retornar a seguinte resposta (seus números podem ser diferentes):

Row year num_babies 0 2008 4255156 1 2006 4273225 2 2003 4096092 3 2004 4118907 4 2002 4027376 5 2005 4145619 6 2001 4031531 7 2007 4324008 Observação: pode ser que os valores das linhas não sejam associados aos anos da resposta acima. O importante é que os números de bebês por ano sejam os mesmos.

Bom trabalho! Você fez uma solicitação para um conjunto de dados público do BigQuery com uma conta de serviço bigquery-qwiklab.

Clique em Verificar meu progresso para conferir o objetivo. Acessar o BigQuery por uma conta de serviço

Parabéns!

Você conheceu as contas de serviço.

Termine a Quest

Este laboratório autoguiado faz parte da Quest Security & Identity Fundamentals. Uma Quest é uma série de laboratórios relacionados que formam um programa de aprendizado. Ao concluir uma Quest, você ganha um selo como reconhecimento da sua conquista. É possível publicar os selos e incluir um link para eles no seu currículo on-line ou nas redes sociais. Inscreva-se nesta Quest e receba o crédito de conclusão imediatamente. Confira o catálogo do Google Cloud Ensina para acessar todas as Quests disponíveis.

Comece o próximo laboratório

Continue sua Quest com Como proteger o Google Cloud usando o CFT Scorecard ou confira estes laboratórios do Google Cloud Ensina:

• Cloud Security Scanner: Qwik Start
• Prevenção contra perda de dados: Qwik Start – Linha de comando

Próximas etapas/Saiba mais

Saiba mais sobre a criação e o gerenciamento de contas de serviço no guia de criação e gerenciamento de contas de serviço.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 30 de junho de 2023

Laboratório testado em 30 de junho de 2023

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.