IMPORTANTE:

Conclua este laboratório prático usando um computador ou notebook.

Só 5 tentativas são permitidas por laboratório.

É comum não acertar todas as questões na primeira tentativa e precisar refazer uma tarefa. Isso faz parte do processo de aprendizado.

Depois que o laboratório é iniciado, não é possível pausar o tempo. Depois de 1h30, o laboratório será finalizado, e você vai precisar recomeçar.

Para saber mais, confira as Dicas técnicas do laboratório.

Informações gerais da atividade

O IAM, ou Identity and Access Management, é um conjunto de processos e tecnologias que ajudam as organizações a gerenciar identidades digitais no ambiente delas. Com o IAM, o controle de acesso é gerenciado definindo a identidade dos usuários e os papéis deles em relação aos recursos disponíveis. As permissões de acesso a recursos não são concedidas diretamente a usuários individuais. Em vez disso, os usuários recebem papéis que são atribuídos a principais autenticados. Ainda que o termo "membros" tenha sido usado no passado, o IAM atualmente se refere a essas pessoas como principais. Algumas APIs ainda usam a terminologia antiga. Há três tipos de papéis do IAM no Google Cloud:

• Papéis básicos: papéis historicamente disponíveis no console do Google Cloud. Esses papéis são Proprietário, Editor e Leitor.

• Papéis predefinidos: oferecem um controle de acesso mais preciso que os papéis básicos. Por exemplo, o papel predefinido de Publicador do Pub/Sub (roles/pubsub.publisher) só concede acesso para publicar mensagens em um tópico do Cloud Pub/Sub.

• Papéis personalizados: podem ser criados para adaptar as permissões às necessidades da sua organização que não são atendidas pelos papéis predefinidos.

Neste laboratório, você vai aprender a criar e gerenciar papéis personalizados do Identity and Access Management (IAM).

Cenário

O Cymbal Bank, como parte de um plano de migração, está implantando gradualmente seus fluxos de trabalho na nuvem. Uma dessas implantações inclui um banco de dados que armazena dados sensíveis de faturamento dos clientes. Antes que o banco de dados possa ser implantado, ele tem que passar por uma auditoria externa abrangente. Os auditores precisam de acesso ao banco de dados para concluir a auditoria. Eles precisam receber as permissões necessárias para realizar seus respectivos trabalhos. Chloe, sua líder de equipe, encarregou você de usar o IAM para implementar o controle de acesso a esse banco de dados para o grupo de auditoria.

O IAM é um componente fundamental da segurança na nuvem que terá um papel crucial na sua tarefa. Integrantes da equipe de auditoria vão precisar de papéis designados com acesso restrito, exclusivamente para visualização e listagem do conteúdo do banco de dados. Sua tarefa, como descrito pela líder da equipe, envolve a configuração precisa do acesso do usuário para fins de cumprimento de requisitos rigorosos.

Saiba como fazer isso: primeiro você vai criar um papel e atribuir as permissões exigidas. Em seguida, você vai atribuir o papel recém-criado a um usuário. Por fim, você vai verificar se o papel criado foi atribuído.

Configuração

Antes de clicar em "Começar o laboratório"

Leia as instruções a seguir. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Neste laboratório prático, você pode fazer as atividades por conta própria em um ambiente cloud de verdade, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.

Observação: não use seu projeto ou conta do Google Cloud neste laboratório para evitar cobranças extras na sua conta.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. No painel Detalhes do laboratório à esquerda, você verá o seguinte:

   • Tempo restante
   • O botão Abrir console do Google Cloud
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias
   Observação: se for preciso pagar pelo laboratório, um pop-up vai aparecer para você escolher a forma de pagamento.

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Cloud (ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima). A página de login do laboratório será aberta em uma nova guia do navegador.

   Dica: é possível organizar as guias em janelas separadas, lado a lado, para alternar facilmente entre elas.

   Observação: se a caixa de diálogo Escolha uma conta aparecer, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário 1 do Google Cloud abaixo e cole na caixa de diálogo de login. Clique em Próximo.

{{{user_0.username | "Nome de usuário 1 do Google Cloud"}}}

Você também encontra o Nome de usuário 1 do Google Cloud no painel Detalhes do laboratório.

4. Copie a Senha do Google Cloud abaixo e cole na caixa de diálogo de boas-vindas. Clique em Próximo.

{{{user_0.password | "Senha do Google Cloud"}}}

Você também encontra a Senha do Google Cloud no painel Detalhes do laboratório.

Importante: você precisa usar as credenciais do painel à esquerda, e não as da sua conta do Google Cloud. Observação: usar sua própria conta do Google Cloud neste laboratório pode gerar cobranças extras.

5. Nas próximas páginas:
   • Aceite os Termos e Condições
   • Não adicione opções de recuperação nem autenticação de dois fatores nesta conta temporária
   • Não se inscreva em testes gratuitos

Depois de alguns instantes, o console do Cloud será aberto nesta guia.

Observação: para acessar a lista dos produtos e serviços do Google Cloud, clique no Menu de navegação no canto superior esquerdo.

Tarefa 1: criar um papel personalizado

Aplicar o princípio de privilégio mínimo é fundamental para o IAM. Ele garante que os usuários recebam apenas as permissões necessárias para executar as tarefas deles. Papéis personalizados fornecem uma maneira de adaptar as permissões às necessidades de uma organização, garantindo que elas não sejam amplas e excessivas para os usuários.

Nesta tarefa, você vai criar um papel personalizado para a equipe de auditoria da Cymbal. Em seguida, você vai conceder ao papel personalizado acesso restrito para visualizar o conteúdo do banco de dados.

1. No console do Google Cloud, no menu de navegação (), clique em IAM e administrador > Papéis. A página Papéis é aberta.

2. Na barra Explorador, próxima à parte de cima da página Papéis, clique em + Criar papel.

3. Na caixa de diálogo Criar papel, especifique as configurações a seguir e deixe todas as configurações restantes como padrão:

Propriedade	Valor (digite ou selecione)
Cargo	Revisor da equipe de auditoria
Descrição	Papel personalizado que permite que a equipe de auditoria conduza atividades de revisão. Esse papel concede acesso somente leitura aos recursos de bancos de dados do Firebase.
ID	CustomRole
Etapa da criação do papel	Disponibilidade geral

Cada papel personalizado pode receber uma etapa da criação do papel que reflete as diferentes fases de desenvolvimento, teste e implantação de um papel. Essas etapas ajudam os usuários a entender o estado atual de um papel e a adequação dele para vários casos de uso.

Há diversas etapas de lançamento no Google Cloud. As três etapas principais de lançamento de papéis que você precisa saber são:

Alfa: papéis na etapa Alfa geralmente são experimentais e podem sofrer mudanças significativas. Eles não são recomendados para ambientes de produção. Os usuários podem fornecer feedback sobre as funções alfa para influenciar o desenvolvimento delas.

Beta: papéis na etapa Beta são mais maduros do que aqueles na Alfa, mas ainda podem passar por atualizações e melhorias com base no feedback do usuário. Eles são considerados adequados para certos cenários de não produção, mas podem não ser totalmente estáveis.

Disponibilidade geral (GA): os papéis que alcançam a disponibilidade geral já concluíram as fases de desenvolvimento, teste e refinamento. Eles são considerados estáveis, confiáveis e adequados para uso generalizado em ambientes de produção. Os papéis de GA foram revisados de forma ampla e têm como objetivo apresentar um comportamento consistente e confiável.

4. Clique em + Adicionar permissões. A caixa de diálogo Adicionar permissões é aberta.

5. No campo Filtrar permissões por papel, digite Firebase Realtime.

6. No campo de menu suspenso de resultados, marque a caixa de seleção Leitor do Firebase Realtime Database.

7. Clique em OK.

8. Em Filtro, marque as caixas de verificação firebase.clients.list e firebasedatabase.instances.list para adicionar essas permissões ao papel personalizado.

9. Clique em Adicionar.

10. Na caixa de diálogo Criar papel, clique em Criar.

Agora o novo papel foi criado e adicionado aos papéis do projeto.

Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente. Criar um papel personalizado

Tarefa 2: atribuir um papel a um usuário

Nesta tarefa, você vai atribuir um papel personalizado criado na Tarefa 1 a um usuário.

Observação: neste laboratório, você vai atribuir o novo papel ao nome de usuário 2 do Google Cloud fornecido no painel Detalhes do laboratório.

1. No console do Google Cloud, no menu de navegação (), clique em IAM e administrador > IAM. A página IAM será aberta.

2. Na guia Visualizar por principais, clique em Permitir acesso. A janela de diálogo Permitir acesso será aberta.

A caixa de diálogo Permitir acesso é um componente crucial do sistema IAM no Google Cloud. Nela é possível definir e gerenciar com precisão as permissões para usuários, grupos e contas de serviço.

3. Copie nome de usuário 2 do Google Cloud: e cole no campo Novos principais.

4. Expanda o menu suspenso Selecionar papel, clique em Personalizado e depois em Revisor da equipe de auditoria. Esse é o papel que você criou na tarefa anterior.

5. Clique em Salvar.

Agora o papel personalizado foi atribuído ao usuário.

Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente. Atribuir um papel a um usuário

Tarefa 3: verificar o papel

Você já criou um papel personalizado com as permissões apropriadas e o atribuiu a um usuário. Agora você vai conferir seu próprio trabalho para verificar se o usuário recebeu o papel criado. Garantir que as configurações foram definidas corretamente é uma parte integral do fluxo de trabalho dos analistas de segurança na nuvem.

Nesta tarefa, você vai usar a ferramenta Análise de políticas do Google Cloud para criar uma consulta e verificar os papéis atribuídos ao usuário.

1. No console do Google Cloud, no menu de navegação (), clique em IAM e administrador > Análise de políticas. A página Análise de políticas é aberta.

2. Na seção Analisar políticas, no bloco Consulta personalizada, clique em Criar consulta personalizada. Um pop-up pode aparecer no canto superior esquerdo do menu do Google Cloud () com o texto "Clique no menu a qualquer momento para encontrar soluções para sua empresa". Clique em Entendi e prossiga para a próxima etapa.

3. Na seção Definir os parâmetros de consulta, expanda o menu suspenso Parâmetro 1 e selecione Principal.

4. Copie nome de usuário 2 do Google Cloud: e cole no campo Principal.

5. Clique em Continuar.

6. Na seção Opções avançadas para resultados de consulta, marque a caixa de seleção Listar recursos nos recursos correspondentes à consulta.

7. Clique em Analisar e depois selecione Executar consulta no menu suspenso.

Os resultados devem retornar o papel atribuído ao usuário. Use-os para responder a(s) pergunta(s) abaixo.

Conclusão

Bom trabalho! Você utilizou o IAM para criar um papel personalizado, conceder acesso a um usuário para o papel e verificar as permissões no Google Cloud. A equipe de auditoria do Cymbal Bank já pode começar a trabalhar na auditoria do banco de dados usando o papel personalizado que você criou.

O IAM define quem tem acesso a quais recursos com base nos papéis. Ele é fundamental para gerenciar identidades digitais no ambiente de uma organização e será uma parte fundamental do seu trabalho como analista de segurança em nuvem.

Usando os serviços do IAM, você vai estar no caminho certo para gerenciar efetivamente o acesso e as permissões aos recursos de armazenamento.

Finalize o laboratório

Antes de encerrar o laboratório, certifique-se de que você concluiu todas as tarefas. Quando tudo estiver pronto, clique em Terminar o laboratório e depois em Enviar.

Depois que você finalizar um laboratório, não será mais possível acessar o ambiente do laboratório nem o trabalho que você concluiu nele.

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos podem ser marcas registradas das empresas a que estão associados.