GSP199

總覽

服務帳戶是特殊類型的 Google 帳戶，其授予權限的對象是虛擬機器而非使用者。這類帳戶主要用於確保連至 API 與 Google Cloud 服務的連線安全無虞，且受到妥善管理。為信任的連線授予存取權並拒絕惡意連線，是所有 Google Cloud 專案必備的安全防護功能。在本實驗室中，您將實際練習使用服務帳戶，深入瞭解這項功能。

課程內容

本實驗室的內容包括：

• 建立及管理服務帳戶
• 建立虛擬機器並連結至服務帳戶
• 使用服務帳戶透過用戶端程式庫存取 BigQuery
• 透過 Compute Engine 執行個體對 BigQuery 公開資料集執行查詢

先備知識

建議您累積一些 Cloud IAM 的使用經驗，但就算您幾乎或完全沒有服務帳戶的相關知識，也可以進行本實驗室。如想透過實際操作，在這方面進一步練習，請務必查看以下實驗室：

• 虛擬私有雲網路對接
• 設定 Kubernetes 私人叢集
• 建立高處理量 VPN

設定和需求

點選「Start Lab」按鈕前的須知事項

請詳閱以下操作說明。研究室活動會計時，而且中途無法暫停。點選「Start Lab」 後就會開始計時，讓您瞭解有多少時間可以使用 Google Cloud 資源。

您將在真正的雲端環境中完成實作研究室活動，而不是在模擬或示範環境。為達此目的，我們會提供新的暫時憑證，讓您用來在研究室活動期間登入及存取 Google Cloud。

如要完成這個研究室活動，請先確認：

• 您可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意：請使用無痕模式或私密瀏覽視窗執行此研究室。這可以防止個人帳戶和學生帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成研究室活動了！別忘了，活動一開始將無法暫停。

注意：如果您擁有個人 Google Cloud 帳戶或專案，請勿用於本研究室，以免產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 按一下「Start Lab」(開始研究室) 按鈕。如果研究室會產生費用，畫面中會出現選擇付款方式的彈出式視窗。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的暫時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，然後選取「在無痕式視窗中開啟連結」。

   接著，實驗室會啟動相關資源並開啟另一個分頁，當中顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要查看列出 Google Cloud 產品和服務的選單，請點選左上角的「導覽選單」。

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器，提供永久的 5 GB 主目錄，而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權，方便您使用 Google Cloud 資源。

1. 點按 Google Cloud 控制台上方的「啟用 Cloud Shell」圖示 。

連線完成即代表已通過驗證，且專案已設為您的 PROJECT_ID。輸出內容中有一行宣告本工作階段 PROJECT_ID 的文字：

您在本工作階段中的 Cloud Platform 專案會設為「YOUR_PROJECT_ID」

gcloud 是 Google Cloud 的指令列工具，已預先安裝於 Cloud Shell，並支援 Tab 鍵自動完成功能。

2. (選用) 您可以執行下列指令來列出使用中的帳戶：

gcloud auth list

3. 點按「授權」。

4. 輸出畫面應如下所示：

輸出內容：

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (選用) 您可以使用下列指令來列出專案 ID：

gcloud config list project

輸出內容：

[core] project = <project_ID>

輸出內容範例：

[core] project = qwiklabs-gcp-44776a13dea667a6 附註：如需有關 gcloud 的完整說明，請前往 Google Cloud 並參閱「gcloud CLI overview guide」(gcloud CLI 總覽指南)。

設定專案區域

請執行以下指令來設定專案區域：

gcloud config set compute/region {{{project_0.default_region | Region}}}

什麼是服務帳戶？

服務帳戶是一種特殊的 Google 帳戶，屬於您的應用程式或虛擬機器 (VM)，而不屬於個別使用者。應用程式會透過服務帳戶呼叫服務的 Google API，因此不會直接牽涉到使用者。

舉例來說，您可以將 Compute Engine VM 做為服務帳戶執行，並為該帳戶授予必要資源的存取權。如此一來，服務帳戶即為服務的身分，而服務帳戶的權限控制了服務能存取的資源。

每個服務帳戶都有專屬的電子郵件地址，以利識別。

服務帳戶的類型

使用者管理的服務帳戶

使用 Google Cloud 控制台建立新的 Cloud 專案時，如果專案啟用了 Compute Engine API，系統預設會為您建立 Compute Engine 服務帳戶。該帳戶可以透過以下電子郵件地址識別：

PROJECT_NUMBER-compute@developer.gserviceaccount.com

如果專案包含 App Engine 應用程式，系統預設會在專案中建立 App Engine 服務帳戶。該帳戶可以透過以下電子郵件地址識別：

PROJECT_ID@appspot.gserviceaccount.com

Google 代管的服務帳戶

除了使用者管理的服務帳戶，專案 IAM 政策或控制台中可能會顯示其他服務帳戶。這些服務帳戶是由 Google 建立及擁有，代表不同的 Google 服務。系統會自動為各個帳戶授予 IAM 角色，以存取您的 Google Cloud 專案。

Google API 服務帳戶

舉例來說，可透過以下電子郵件地址識別的 Google API 服務帳戶即為 Google 代管的服務帳戶：

PROJECT_NUMBER@cloudservices.gserviceaccount.com

這個服務帳戶專門用於代表您執行內部 Google 程序，且不會列在控制台的「服務帳戶」區段中。根據預設，該帳戶會自動獲授予專案的編輯者角色，並列在控制台的「IAM」區段中。只有在專案遭刪除時，系統才會刪除該服務帳戶。

注意：服務帳戶必須具備您專案的存取權，Google 服務才能運作，因此請勿移除或變更該帳戶在專案中的角色。

瞭解 IAM 角色

當某個身分呼叫 Google Cloud API 時，Cloud Identity and Access Management 會要求該身分具備使用資源的適當權限。您可以將角色授予使用者、群組或服務帳戶，藉此授予權限。

角色類型

Cloud IAM 中有三種角色：

• 原始角色：在 Cloud IAM 推出前就存在的角色，包括擁有者、編輯者和檢視者角色。
• 預先定義的角色：針對特定服務提供精細的存取權限，且是由 Google Cloud 管理。
• 自訂角色：根據使用者指定的權限清單，提供精細的存取權限。

如要進一步瞭解角色，請參閱這份指南。

工作 1：建立及管理服務帳戶

當您建立新的 Cloud 專案時，Google Cloud 會自動在該專案中，建立一個 Compute Engine 服務帳戶和一個 App Engine 服務帳戶。您最多可以為專案另外建立 98 個服務帳戶，以便控管資源的存取權。

建立服務帳戶

建立服務帳戶的方法與新增專案成員類似，差別只是服務帳戶屬於應用程式，而非個別使用者。

• 如要建立服務帳戶，請在 Cloud Shell 中執行以下指令：

gcloud iam service-accounts create my-sa-123 --display-name "my service account"

這項指令會輸出服務帳戶，看起來如下所示：

Created service account [my-sa-123]

將角色授予服務帳戶

授予 IAM 角色時，您可以將服務帳戶視為資源或身分。

應用程式會將服務帳戶視為身分，向 Google Cloud 服務進行驗證。舉例來說，如果您將 Compute Engine 虛擬機器 (VM) 做為服務帳戶執行，則可以將專案 (資源) 的編輯者角色授予服務帳戶 (身分)。

另外，您也可以控制哪些使用者能夠啟動 VM，只要將服務帳戶 (資源) 的 serviceAccountUser 角色授予使用者 (身分) 即可。

為服務帳戶授予特定資源的角色

您可以將角色授予服務帳戶，讓服務帳戶有權對 Cloud Platform 專案中的資源完成特定動作。例如，您可以為服務帳戶授予 storage.admin 角色，讓服務帳戶有權控管 Cloud Storage 中的物件和 bucket。

• 在 Cloud Shell 中執行以下指令，為您剛才建立的服務帳戶授予角色：

gcloud projects add-iam-policy-binding $DEVSHELL_PROJECT_ID \ --member serviceAccount:my-sa-123@$DEVSHELL_PROJECT_ID.iam.gserviceaccount.com --role roles/editor

輸出內容會列出該服務帳戶目前具備的角色：

bindings: - members: - user:email1@gmail.com role: roles/owner - members: - serviceAccount:our-project-123@appspot.gserviceaccount.com - serviceAccount:123456789012-compute@developer.gserviceaccount.com - serviceAccount:my-sa-123@my-project-123.iam.gserviceaccount.com - user:email3@gmail.com role: roles/editor - members: - user:email2@gmail.com role: roles/viewer etag: BwUm38GGAQk= version: 1

點選「Check my progress」，確認目標已達成。 建立及管理服務帳戶

工作 2：使用服務帳戶透過用戶端程式庫存取 BigQuery

在本節中，您要使用具備必要角色的服務帳戶，透過執行個體查詢 BigQuery 公開資料集。

建立服務帳戶

首先在控制台中建立新的服務帳戶。

1. 依序前往「導覽選單」>「IAM 與管理」，選取「服務帳戶」，然後點選「+ 建立服務帳戶」。

2. 填寫必要詳細資訊：

• 服務帳戶名稱：bigquery-qwiklab

3. 接著點選「建立並繼續」，然後新增下列角色：

   • 「BigQuery」>「BigQuery 資料檢視者」

   • 「BigQuery」>「BigQuery 使用者」

這時控制台應顯示類似下方的畫面：

4. 依序點選「繼續」和「完成」。

建立 VM 執行個體

1. 在控制台中依序前往「Compute Engine」>「VM 執行個體」，然後點選「建立執行個體」。

2. 使用下列資訊建立 VM：

設定	值
名稱	bigquery-instance
區域
可用區
系列	E2
機型	e2-medium
開機磁碟	Debian GNU/Linux 11 (bullseye) x86/64
服務帳戶	bigquery-qwiklab
存取權範圍	分別為每個 API 設定存取權
BigQuery	已啟用

附註：如果下拉式清單中未顯示 bigquery-qwiklab 服務帳戶，請在「篩選器」部分輸入該名稱。

3. 點選「建立」。

將範例程式碼置於 Compute Engine 執行個體

1. 在控制台中依序前往「Compute Engine」>「VM 執行個體」。
2. 點選「SSH」按鈕，使用 SSH 連線至 bigquery-instance。

附註：透過 SSH 連線時，您可以點選「不使用 Identity-Aware Proxy 連線」。

在 SSH 視窗中，執行以下指令來安裝必要依附元件：

sudo apt-get update sudo apt-get install -y git python3-pip pip3 install --upgrade pip pip3 install google-cloud-bigquery pip3 install pyarrow pip3 install pandas pip3 install db-dtypes

接著建立範例 Python 檔案：

echo " from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='YOUR_SERVICE_ACCOUNT') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project='{{{project_0.project_id | Your Project ID}}}', credentials=credentials) print(client.query(query).to_dataframe()) " > query.py

使用以下指令在 query.py 中加入專案 ID：

sed -i -e "s/{{{project_0.project_id | Your Project ID}}}/$(gcloud config get-value project)/g" query.py

執行以下指令，確保 sed 指令已成功變更檔案中的專案 ID：

cat query.py

輸出內容範例 (可能與您的輸出內容不同)：

from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='YOUR_SERVICE_ACCOUNT') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project={{{ project_0.project_id }}}, credentials=credentials) print(client.query(query).to_dataframe())

執行以下指令，將服務帳戶電子郵件地址新增至 query.py：

sed -i -e "s/YOUR_SERVICE_ACCOUNT/bigquery-qwiklab@$(gcloud config get-value project).iam.gserviceaccount.com/g" query.py

執行以下指令，確保 sed 指令已成功變更檔案中的服務帳戶電子郵件地址：

cat query.py

輸出內容範例 (可能與您的輸出內容不同)：

from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='bigquery-qwiklab@{{{ project_0.project_id }}}.iam.gserviceaccount.com') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project={{{ project_0.project_id }}}, credentials=credentials) print(client.query(query).to_dataframe())

應用程式現在可使用該服務帳戶具備的權限了。 請使用以下 Python 指令執行查詢：

python3 query.py

查詢應會傳回以下輸出內容 (可能與您收到的數字不同)：

Row year num_babies 0 2008 4255156 1 2006 4273225 2 2003 4096092 3 2004 4118907 4 2002 4027376 5 2005 4145619 6 2001 4031531 7 2007 4324008 附註：您的資料列值可能不會與上方輸出內容中的年份相對應。不過，請確認每年的新生兒人數與上方輸出內容相同。

做得好！您已使用 bigquery-qwiklab 服務帳戶向 BigQuery 公開資料集發送要求。

點選「Check my progress」，確認目標已達成。 使用服務帳戶存取 BigQuery

恭喜！

在本實驗室中，您已瞭解如何使用服務帳戶。

後續步驟/瞭解詳情

• 想進一步瞭解如何建立及管理服務帳戶，請參閱這份指南。
• 參考下列實驗室：
  • 透過 CFT Scorecard 保護 Google Cloud
  • Web Security Scanner：Qwik Start

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2024 年 7 月 17 日

實驗室上次測試日期：2024 年 7 月 17 日

Copyright 2024 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。