GSP199

總覽

服務帳戶是特殊類型的 Google 帳戶，其授予權限的對象是虛擬機器而非使用者。這類帳戶主要用於確保連至 API 與 Google Cloud 服務的連線安全無虞，且受到妥善管理。為信任的連線授予存取權並拒絕惡意連線，是所有 Google Cloud 專案必備的安全防護功能。在本實驗室中，您將實際練習使用服務帳戶，深入瞭解這項功能。

課程內容

本實驗室的內容包括：

• 建立及管理服務帳戶
• 建立虛擬機器並連結至服務帳戶
• 使用服務帳戶透過用戶端程式庫存取 BigQuery
• 透過 Compute Engine 執行個體對 BigQuery 公開資料集執行查詢

先備知識

建議您累積一些 Cloud IAM 的使用經驗，但就算您幾乎或完全沒有服務帳戶的相關知識，也可以進行本實驗室。如想透過實際操作，在這方面進一步練習，請務必查看以下實驗室：

• 虛擬私有雲網路對接
• 設定 Kubernetes 私人叢集
• 建立高處理量 VPN

設定和需求

點選「Start Lab」按鈕前的須知事項

請詳閱以下操作說明。研究室活動會計時，而且中途無法暫停。點選「Start Lab」 後就會開始計時，讓您瞭解有多少時間可以使用 Google Cloud 資源。

您將在真正的雲端環境中完成實作研究室活動，而不是在模擬或示範環境。為達此目的，我們會提供新的暫時憑證，讓您用來在研究室活動期間登入及存取 Google Cloud。

如要完成這個研究室活動，請先確認：

• 您可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意：請使用無痕模式或私密瀏覽視窗執行此研究室。這可以防止個人帳戶和學生帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成研究室活動了！別忘了，活動一開始將無法暫停。

注意：如果您擁有個人 Google Cloud 帳戶或專案，請勿用於本研究室，以免產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 按一下「Start Lab」(開始研究室) 按鈕。如果研究室會產生費用，畫面中會出現選擇付款方式的彈出式視窗。左側的「Lab Details」(研究室詳細資料) 面板會顯示下列項目：

   • 「Open Google Console」(開啟 Google 控制台) 按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的暫時憑證
   • 完成這個研究室所需的其他資訊 (如有)

2. 按一下「Open Google Console」(開啟 Google 控制台)。接著，研究室會啟動相關資源並開啟另一個分頁，當中會顯示「Sign in」(登入) 頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意事項：如果頁面中顯示了「Choose an account」(選擇帳戶) 對話方塊，請按一下「Use Another Account」(使用其他帳戶)。

3. 如有必要，請複製「Lab Details」(研究室詳細資料) 面板中的使用者名稱，然後貼到「Sign in」(登入) 對話方塊。按一下「Next」(下一步)。

4. 複製「Lab Details」(研究室詳細資料) 面板中的密碼，然後貼到「Welcome」(歡迎使用) 對話方塊。按一下「Next」(下一步)。

   重要注意事項：請務必使用左側面板中的憑證，而非 Google Cloud 技能重點加強的憑證。 注意事項：如果使用自己的 Google Cloud 帳戶來進行這個研究室，可能會產生額外費用。

5. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Cloud 控制台稍後會在這個分頁中開啟。

注意事項：按一下畫面左上方的導覽選單，即可在選單中查看 Google Cloud 產品與服務的清單。

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器，提供永久的 5 GB 主目錄，而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權，方便您使用 Google Cloud 資源。

1. 點按 Google Cloud 控制台上方的「啟用 Cloud Shell」圖示 。

連線完成即代表已通過驗證，且專案已設為您的 PROJECT_ID。輸出內容中有一行宣告本工作階段 PROJECT_ID 的文字：

您在本工作階段中的 Cloud Platform 專案會設為「YOUR_PROJECT_ID」

gcloud 是 Google Cloud 的指令列工具，已預先安裝於 Cloud Shell，並支援 Tab 鍵自動完成功能。

2. (選用) 您可以執行下列指令來列出使用中的帳戶：

gcloud auth list

3. 點按「授權」。

4. 輸出畫面應如下所示：

輸出內容：

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (選用) 您可以使用下列指令來列出專案 ID：

gcloud config list project

輸出內容：

[core] project = <project_ID>

輸出內容範例：

[core] project = qwiklabs-gcp-44776a13dea667a6 附註：如需有關 gcloud 的完整說明，請前往 Google Cloud 並參閱「gcloud CLI overview guide」(gcloud CLI 總覽指南)。

設定專案區域

執行以下指令來設定專案區域：

gcloud config set compute/region {{{project_0.default_region | Region}}}

什麼是服務帳戶？

服務帳戶是一種特殊的 Google 帳戶，屬於您的應用程式或虛擬機器 (VM)，而不屬於個別使用者。應用程式會透過服務帳戶呼叫服務的 Google API，因此不會直接牽涉到使用者。

舉例來說，您可以將 Compute Engine VM 做為服務帳戶執行，並為該帳戶授予必要資源的存取權。如此一來，服務帳戶即為服務的身分，而服務帳戶的權限控制了服務能存取的資源。

每個服務帳戶都有專屬的電子郵件地址，以利識別。

服務帳戶的類型

使用者管理的服務帳戶

使用 Google Cloud 控制台建立新的 Cloud 專案時，如果專案啟用了 Compute Engine API，系統預設會為您建立 Compute Engine 服務帳戶。該帳戶可以透過以下電子郵件地址識別：

PROJECT_NUMBER-compute@developer.gserviceaccount.com

如果專案包含 App Engine 應用程式，系統預設會在專案中建立 App Engine 服務帳戶。該帳戶可以透過以下電子郵件地址識別：

PROJECT_ID@appspot.gserviceaccount.com

Google 代管的服務帳戶

除了使用者管理的服務帳戶，專案 IAM 政策或控制台中可能會顯示其他服務帳戶。這些服務帳戶是由 Google 建立及擁有，代表不同的 Google 服務。系統會自動為各個帳戶授予 IAM 角色，以存取您的 Google Cloud 專案。

Google API 服務帳戶

舉例來說，可透過以下電子郵件地址識別的 Google API 服務帳戶即為 Google 代管的服務帳戶：

PROJECT_NUMBER@cloudservices.gserviceaccount.com

這個服務帳戶專門用於代表您執行內部 Google 程序，且不會列在控制台的「服務帳戶」區段中。根據預設，該帳戶會自動獲授予專案的編輯者角色，並列在控制台的「IAM」區段中。只有在專案遭刪除時，系統才會刪除該服務帳戶。

注意：服務帳戶必須具備您專案的存取權，Google 服務才能運作，因此請勿移除或變更該帳戶在專案中的角色。

瞭解 IAM 角色

當某個身分呼叫 Google Cloud API 時，Cloud Identity and Access Management 會要求該身分具備使用資源的適當權限。您可以將角色授予使用者、群組或服務帳戶，藉此授予權限。

角色類型

Cloud IAM 中有三種角色：

• 原始角色：在 Cloud IAM 推出前就存在的角色，包括擁有者、編輯者和檢視者角色。
• 預先定義的角色：針對特定服務提供精細的存取權限，且是由 Google Cloud 管理。
• 自訂角色：根據使用者指定的權限清單，提供精細的存取權限。

如要進一步瞭解角色，請參閱這份指南。

工作 1：建立及管理服務帳戶

當您建立新的 Cloud 專案時，Google Cloud 會自動在該專案中，建立一個 Compute Engine 服務帳戶和一個 App Engine 服務帳戶。您最多可以為專案另外建立 98 個服務帳戶，以便控管資源的存取權。

建立服務帳戶

建立服務帳戶的方法與新增專案成員類似，差別只是服務帳戶屬於應用程式，而非個別使用者。

• 如要建立服務帳戶，請在 Cloud Shell 中執行以下指令：

gcloud iam service-accounts create my-sa-123 --display-name "my service account"

這項指令會輸出服務帳戶，看起來如下所示：

Created service account [my-sa-123]

將角色授予服務帳戶

授予 IAM 角色時，您可以將服務帳戶視為資源或身分。

應用程式會將服務帳戶視為身分，向 Google Cloud 服務進行驗證。舉例來說，如果您將 Compute Engine 虛擬機器 (VM) 做為服務帳戶執行，則可以將專案 (資源) 的編輯者角色授予服務帳戶 (身分)。

另外，您也可以控制哪些使用者能夠啟動 VM，只要將服務帳戶 (資源) 的 serviceAccountUser 角色授予使用者 (身分) 即可。

為服務帳戶授予特定資源的角色

您可以將角色授予服務帳戶，讓服務帳戶有權對 Cloud Platform 專案中的資源完成特定動作。例如，您可以為服務帳戶授予 storage.admin 角色，讓服務帳戶有權控管 Cloud Storage 中的物件和 bucket。

• 在 Cloud Shell 中執行以下指令，為您剛才建立的服務帳戶授予角色：

gcloud projects add-iam-policy-binding $DEVSHELL_PROJECT_ID \ --member serviceAccount:my-sa-123@$DEVSHELL_PROJECT_ID.iam.gserviceaccount.com --role roles/editor

輸出內容會列出該服務帳戶目前具備的角色：

bindings: - members: - user:email1@gmail.com role: roles/owner - members: - serviceAccount:our-project-123@appspot.gserviceaccount.com - serviceAccount:123456789012-compute@developer.gserviceaccount.com - serviceAccount:my-sa-123@my-project-123.iam.gserviceaccount.com - user:email3@gmail.com role: roles/editor - members: - user:email2@gmail.com role: roles/viewer etag: BwUm38GGAQk= version: 1

點選「Check my progress」，確認目標已達成。 建立及管理服務帳戶

工作 2：使用服務帳戶透過用戶端程式庫存取 BigQuery

在本節中，您要使用具備必要角色的服務帳戶，透過執行個體查詢 BigQuery 公開資料集。

建立服務帳戶

首先在控制台中建立新的服務帳戶。

1. 依序前往「導覽選單」>「IAM 與管理」，選取「服務帳戶」，然後點選「+ 建立服務帳戶」。

2. 填寫必要詳細資訊：

• 服務帳戶名稱：bigquery-qwiklab

3. 接著點選「建立並繼續」，然後新增下列角色：

• 角色：「BigQuery」>「BigQuery 資料檢視者」和「BigQuery」>「BigQuery 使用者」

控制台應看起來如下所示：

4. 依序點選「繼續」和「完成」。

建立 VM 執行個體

1. 在控制台中依序前往「Compute Engine」>「VM 執行個體」，然後點選「建立執行個體」。

2. 使用下列資訊建立 VM：

設定	值
名稱	bigquery-instance
區域
可用區
系列	E2
機型	e2-medium
開機磁碟	Debian GNU/Linux 11 (bullseye) x86/64
服務帳戶	bigquery-qwiklab

附註：如果下拉式清單中未顯示「bigquery-qwiklab」服務帳戶，請在「篩選器」部分中輸入該名稱。

3. 點選「建立」。

將範例程式碼置於 Compute Engine 執行個體

1. 在控制台中依序前往「Compute Engine」>「VM 執行個體」。
2. 點選「SSH」按鈕，使用 SSH 連線至 bigquery-instance。

附註：透過 SSH 連線時，您可以點選「不使用 Identity-Aware Proxy 連線」。

在 SSH 視窗中，執行以下指令來安裝必要依附元件：

sudo apt-get update sudo apt-get install -y git python3-pip pip3 install --upgrade pip pip3 install google-cloud-bigquery pip3 install pyarrow pip3 install pandas pip3 install db-dtypes

接著建立範例 Python 檔案：

echo " from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='YOUR_SERVICE_ACCOUNT') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project='{{{project_0.project_id | Your Project ID}}}', credentials=credentials) print(client.query(query).to_dataframe()) " > query.py

使用以下指令在 query.py 中加入專案 ID：

sed -i -e "s/{{{project_0.project_id | Your Project ID}}}/$(gcloud config get-value project)/g" query.py

執行以下指令，確保 sed 指令已成功變更檔案中的專案 ID：

cat query.py

輸出內容範例 (可能與您的輸出內容不同)：

from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='YOUR_SERVICE_ACCOUNT') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project={{{ project_0.project_id }}}, credentials=credentials) print(client.query(query).to_dataframe())

執行以下指令，將服務帳戶電子郵件地址新增至 query.py：

sed -i -e "s/YOUR_SERVICE_ACCOUNT/bigquery-qwiklab@$(gcloud config get-value project).iam.gserviceaccount.com/g" query.py

執行以下指令，確保 sed 指令已成功變更檔案中的服務帳戶電子郵件地址：

cat query.py

輸出內容範例 (可能與您的輸出內容不同)：

from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='bigquery-qwiklab@{{{ project_0.project_id }}}.iam.gserviceaccount.com') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project={{{ project_0.project_id }}}, credentials=credentials) print(client.query(query).to_dataframe())

應用程式現在可使用該服務帳戶具備的權限了。 請使用以下 Python 指令執行查詢：

python3 query.py

查詢應會傳回以下輸出內容 (可能與您收到的數字不同)：

Row year num_babies 0 2008 4255156 1 2006 4273225 2 2003 4096092 3 2004 4118907 4 2002 4027376 5 2005 4145619 6 2001 4031531 7 2007 4324008 附註：您的資料列值可能不會與上方輸出內容中的年份相對應。不過，請確認每年的新生兒人數與上方輸出內容相同。

做得好！您已使用 bigquery-qwiklab 服務帳戶向 BigQuery 公開資料集發送要求。

點選「Check my progress」，確認目標已達成。 使用服務帳戶存取 BigQuery

恭喜！

在本實驗室中，您已瞭解如何使用服務帳戶。

後續步驟/瞭解詳情

• 想進一步瞭解如何建立及管理服務帳戶，請參閱這份指南。
• 參考下列實驗室：
  • 透過 CFT Scorecard 保護 Google Cloud
  • Cloud Security Scanner：Qwik Start

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2024 年 4 月 24 日

實驗室上次測試日期：2024 年 4 月 24 日

Copyright 2024 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。