arrow_back

服務帳戶與角色:基礎知識

登录 加入
Quick tip: Review the prerequisites before you run the lab
Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the student account, which may cause extra charges incurred to your personal account.
欢迎加入我们的社区,一起测试和分享您的知识!
done
学习 700 多个动手实验和课程并获得相关技能徽章

服務帳戶與角色:基礎知識

实验 1 小时 15 分钟 universal_currency_alt 1 积分 show_chart 入门级
info 此实验可能会提供 AI 工具来支持您学习。
欢迎加入我们的社区,一起测试和分享您的知识!
done
学习 700 多个动手实验和课程并获得相关技能徽章

GSP199

Google Cloud 自學實驗室標誌

總覽

服務帳戶是特殊類型的 Google 帳戶,其授予權限的對象是虛擬機器而非使用者。這類帳戶主要用於確保連至 API 與 Google Cloud 服務的連線安全無虞,且受到妥善管理。為信任的連線授予存取權並拒絕惡意連線,是所有 Google Cloud 專案必備的安全防護功能。在本實驗室中,您將實際練習使用服務帳戶,深入瞭解這項功能。

課程內容

本實驗室的內容包括:

  • 建立及管理服務帳戶
  • 建立虛擬機器並連結至服務帳戶
  • 使用服務帳戶透過用戶端程式庫存取 BigQuery
  • 透過 Compute Engine 執行個體對 BigQuery 公開資料集執行查詢

先備知識

建議您累積一些 Cloud IAM 的使用經驗,但就算您幾乎或完全沒有服務帳戶的相關知識,也可以進行本實驗室。如想透過實際操作,在這方面進一步練習,請務必查看以下實驗室:

設定和需求

點選「Start Lab」按鈕前的須知事項

請詳閱以下操作說明。研究室活動會計時,而且中途無法暫停。點選「Start Lab」 後就會開始計時,讓您瞭解有多少時間可以使用 Google Cloud 資源。

您將在真正的雲端環境中完成實作研究室活動,而不是在模擬或示範環境。為達此目的,我們會提供新的暫時憑證,讓您用來在研究室活動期間登入及存取 Google Cloud。

如要完成這個研究室活動,請先確認:

  • 您可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。
注意:請使用無痕模式或私密瀏覽視窗執行此研究室。這可以防止個人帳戶和學生帳戶之間的衝突,避免個人帳戶產生額外費用。
  • 是時候完成研究室活動了!別忘了,活動一開始將無法暫停。
注意:如果您擁有個人 Google Cloud 帳戶或專案,請勿用於本研究室,以免產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

  1. 按一下「Start Lab」(開始研究室) 按鈕。如果研究室會產生費用,畫面中會出現選擇付款方式的彈出式視窗。左側的「Lab Details」窗格會顯示下列項目:

    • 「Open Google Cloud console」按鈕
    • 剩餘時間
    • 必須在這個研究室中使用的暫時憑證
    • 完成這個實驗室所需的其他資訊 (如有)

  2. 點選「Open Google Cloud console」;如果使用 Chrome 瀏覽器,也能按一下滑鼠右鍵,然後選取「在無痕式視窗中開啟連結」

    接著,實驗室會啟動相關資源並開啟另一個分頁,當中顯示「登入」頁面。

    提示:您可以在不同的視窗中並排開啟分頁。

    注意:如果頁面中顯示「選擇帳戶」對話方塊,請點選「使用其他帳戶」

  3. 如有必要,請將下方的 Username 貼到「登入」對話方塊。

    {{{user_0.username | "Username"}}}

    您也可以在「Lab Details」窗格找到 Username

  4. 點選「下一步」

  5. 複製下方的 Password,並貼到「歡迎使用」對話方塊。

    {{{user_0.password | "Password"}}}

    您也可以在「Lab Details」窗格找到 Password

  6. 點選「下一步」

    重要事項:請務必使用實驗室提供的憑證,而非自己的 Google Cloud 帳戶憑證。 注意:如果使用自己的 Google Cloud 帳戶來進行這個實驗室,可能會產生額外費用。

  7. 按過後續的所有頁面:

    • 接受條款及細則。
    • 由於這是臨時帳戶,請勿新增救援選項或雙重驗證機制。
    • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意:如要查看列出 Google Cloud 產品和服務的選單,請點選左上角的「導覽選單」「導覽選單」圖示

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器,提供永久的 5 GB 主目錄,而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權,方便您使用 Google Cloud 資源。

  1. 點按 Google Cloud 控制台上方的「啟用 Cloud Shell」圖示 「啟動 Cloud Shell」圖示

連線完成即代表已通過驗證,且專案已設為您的 PROJECT_ID。輸出內容中有一行宣告本工作階段 PROJECT_ID 的文字:

您在本工作階段中的 Cloud Platform 專案會設為「YOUR_PROJECT_ID」

gcloud 是 Google Cloud 的指令列工具,已預先安裝於 Cloud Shell,並支援 Tab 鍵自動完成功能。

  1. (選用) 您可以執行下列指令來列出使用中的帳戶:
gcloud auth list

  1. 點按「授權」

  2. 輸出畫面應如下所示:

輸出內容:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (選用) 您可以使用下列指令來列出專案 ID:
gcloud config list project

輸出內容:

[core] project = <project_ID>

輸出內容範例:

[core] project = qwiklabs-gcp-44776a13dea667a6 附註:如需有關 gcloud 的完整說明,請前往 Google Cloud 並參閱「gcloud CLI overview guide」(gcloud CLI 總覽指南)。

設定專案區域

請執行以下指令來設定專案區域:

gcloud config set compute/region {{{project_0.default_region | Region}}}

什麼是服務帳戶?

服務帳戶是一種特殊的 Google 帳戶,屬於您的應用程式或虛擬機器 (VM),而不屬於個別使用者。應用程式會透過服務帳戶呼叫服務的 Google API,因此不會直接牽涉到使用者。

舉例來說,您可以將 Compute Engine VM 做為服務帳戶執行,並為該帳戶授予必要資源的存取權。如此一來,服務帳戶即為服務的身分,而服務帳戶的權限控制了服務能存取的資源。

每個服務帳戶都有專屬的電子郵件地址,以利識別。

服務帳戶的類型

使用者管理的服務帳戶

使用 Google Cloud 控制台建立新的 Cloud 專案時,如果專案啟用了 Compute Engine API,系統預設會為您建立 Compute Engine 服務帳戶。該帳戶可以透過以下電子郵件地址識別:

PROJECT_NUMBER-compute@developer.gserviceaccount.com

如果專案包含 App Engine 應用程式,系統預設會在專案中建立 App Engine 服務帳戶。該帳戶可以透過以下電子郵件地址識別:

PROJECT_ID@appspot.gserviceaccount.com

Google 代管的服務帳戶

除了使用者管理的服務帳戶,專案 IAM 政策或控制台中可能會顯示其他服務帳戶。這些服務帳戶是由 Google 建立及擁有,代表不同的 Google 服務。系統會自動為各個帳戶授予 IAM 角色,以存取您的 Google Cloud 專案。

Google API 服務帳戶

舉例來說,可透過以下電子郵件地址識別的 Google API 服務帳戶即為 Google 代管的服務帳戶:

PROJECT_NUMBER@cloudservices.gserviceaccount.com

這個服務帳戶專門用於代表您執行內部 Google 程序,且不會列在控制台的「服務帳戶」區段中。根據預設,該帳戶會自動獲授予專案的編輯者角色,並列在控制台的「IAM」區段中。只有在專案遭刪除時,系統才會刪除該服務帳戶。

注意:服務帳戶必須具備您專案的存取權,Google 服務才能運作,因此請勿移除或變更該帳戶在專案中的角色。

瞭解 IAM 角色

當某個身分呼叫 Google Cloud API 時,Cloud Identity and Access Management 會要求該身分具備使用資源的適當權限。您可以將角色授予使用者、群組或服務帳戶,藉此授予權限。

角色類型

Cloud IAM 中有三種角色:

  • 原始角色:在 Cloud IAM 推出前就存在的角色,包括擁有者、編輯者和檢視者角色。
  • 預先定義的角色:針對特定服務提供精細的存取權限,且是由 Google Cloud 管理。
  • 自訂角色:根據使用者指定的權限清單,提供精細的存取權限。

如要進一步瞭解角色,請參閱這份指南

工作 1:建立及管理服務帳戶

當您建立新的 Cloud 專案時,Google Cloud 會自動在該專案中,建立一個 Compute Engine 服務帳戶和一個 App Engine 服務帳戶。您最多可以為專案另外建立 98 個服務帳戶,以便控管資源的存取權。

建立服務帳戶

建立服務帳戶的方法與新增專案成員類似,差別只是服務帳戶屬於應用程式,而非個別使用者。

  • 如要建立服務帳戶,請在 Cloud Shell 中執行以下指令:
gcloud iam service-accounts create my-sa-123 --display-name "my service account"

這項指令會輸出服務帳戶,看起來如下所示:

Created service account [my-sa-123]

將角色授予服務帳戶

授予 IAM 角色時,您可以將服務帳戶視為資源身分

應用程式會將服務帳戶視為身分,向 Google Cloud 服務進行驗證。舉例來說,如果您將 Compute Engine 虛擬機器 (VM) 做為服務帳戶執行,則可以將專案 (資源) 的編輯者角色授予服務帳戶 (身分)。

另外,您也可以控制哪些使用者能夠啟動 VM,只要將服務帳戶 (資源) 的 serviceAccountUser 角色授予使用者 (身分) 即可。

為服務帳戶授予特定資源的角色

您可以將角色授予服務帳戶,讓服務帳戶有權對 Cloud Platform 專案中的資源完成特定動作。例如,您可以為服務帳戶授予 storage.admin 角色,讓服務帳戶有權控管 Cloud Storage 中的物件和 bucket。

  • 在 Cloud Shell 中執行以下指令,為您剛才建立的服務帳戶授予角色:
gcloud projects add-iam-policy-binding $DEVSHELL_PROJECT_ID \ --member serviceAccount:my-sa-123@$DEVSHELL_PROJECT_ID.iam.gserviceaccount.com --role roles/editor

輸出內容會列出該服務帳戶目前具備的角色:

bindings: - members: - user:email1@gmail.com role: roles/owner - members: - serviceAccount:our-project-123@appspot.gserviceaccount.com - serviceAccount:123456789012-compute@developer.gserviceaccount.com - serviceAccount:my-sa-123@my-project-123.iam.gserviceaccount.com - user:email3@gmail.com role: roles/editor - members: - user:email2@gmail.com role: roles/viewer etag: BwUm38GGAQk= version: 1

點選「Check my progress」,確認目標已達成。 建立及管理服務帳戶

工作 2:使用服務帳戶透過用戶端程式庫存取 BigQuery

在本節中,您要使用具備必要角色的服務帳戶,透過執行個體查詢 BigQuery 公開資料集。

建立服務帳戶

首先在控制台中建立新的服務帳戶。

  1. 依序前往「導覽選單」>「IAM 與管理」,選取「服務帳戶」,然後點選「+ 建立服務帳戶」。

  2. 填寫必要詳細資訊:

  • 服務帳戶名稱:bigquery-qwiklab

  1. 接著點選「建立並繼續」,然後新增下列角色:

    • 「BigQuery」>「BigQuery 資料檢視者」

    • 「BigQuery」>「BigQuery 使用者」

這時控制台應顯示類似下方的畫面:

「建立服務帳戶」分頁式頁面

  1. 依序點選「繼續」和「完成」

建立 VM 執行個體

  1. 在控制台中依序前往「Compute Engine」>「VM 執行個體」,然後點選「建立執行個體」

  2. 使用下列資訊建立 VM:

設定
名稱 bigquery-instance
區域
可用區
系列 E2
機型 e2-medium
開機磁碟 Debian GNU/Linux 11 (bullseye) x86/64
服務帳戶 bigquery-qwiklab
存取權範圍 分別為每個 API 設定存取權
BigQuery 已啟用
附註:如果下拉式清單中未顯示 bigquery-qwiklab 服務帳戶,請在「篩選器」部分輸入該名稱。
  1. 點選「建立」

將範例程式碼置於 Compute Engine 執行個體

  1. 在控制台中依序前往「Compute Engine」>「VM 執行個體」
  2. 點選「SSH」按鈕,使用 SSH 連線至 bigquery-instance
附註:透過 SSH 連線時,您可以點選「不使用 Identity-Aware Proxy 連線」

在 SSH 視窗中,執行以下指令來安裝必要依附元件:

sudo apt-get update sudo apt-get install -y git python3-pip pip3 install --upgrade pip pip3 install google-cloud-bigquery pip3 install pyarrow pip3 install pandas pip3 install db-dtypes

接著建立範例 Python 檔案:

echo " from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='YOUR_SERVICE_ACCOUNT') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project='{{{project_0.project_id | Your Project ID}}}', credentials=credentials) print(client.query(query).to_dataframe()) " > query.py

使用以下指令在 query.py 中加入專案 ID:

sed -i -e "s/{{{project_0.project_id | Your Project ID}}}/$(gcloud config get-value project)/g" query.py

執行以下指令,確保 sed 指令已成功變更檔案中的專案 ID:

cat query.py

輸出內容範例 (可能與您的輸出內容不同):

from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='YOUR_SERVICE_ACCOUNT') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project={{{ project_0.project_id }}}, credentials=credentials) print(client.query(query).to_dataframe())

執行以下指令,將服務帳戶電子郵件地址新增至 query.py

sed -i -e "s/YOUR_SERVICE_ACCOUNT/bigquery-qwiklab@$(gcloud config get-value project).iam.gserviceaccount.com/g" query.py

執行以下指令,確保 sed 指令已成功變更檔案中的服務帳戶電子郵件地址:

cat query.py

輸出內容範例 (可能與您的輸出內容不同):

from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='bigquery-qwiklab@{{{ project_0.project_id }}}.iam.gserviceaccount.com') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project={{{ project_0.project_id }}}, credentials=credentials) print(client.query(query).to_dataframe())

應用程式現在可使用該服務帳戶具備的權限了。 請使用以下 Python 指令執行查詢:

python3 query.py

查詢應會傳回以下輸出內容 (可能與您收到的數字不同):

Row year num_babies 0 2008 4255156 1 2006 4273225 2 2003 4096092 3 2004 4118907 4 2002 4027376 5 2005 4145619 6 2001 4031531 7 2007 4324008 附註:您的資料列值可能不會與上方輸出內容中的年份相對應。不過,請確認每年的新生兒人數與上方輸出內容相同。

做得好!您已使用 bigquery-qwiklab 服務帳戶向 BigQuery 公開資料集發送要求。

點選「Check my progress」,確認目標已達成。 使用服務帳戶存取 BigQuery

恭喜!

在本實驗室中,您已瞭解如何使用服務帳戶。

後續步驟/瞭解詳情

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期:2024 年 7 月 17 日

實驗室上次測試日期:2024 年 7 月 17 日

Copyright 2025 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

Use private browsing

  1. Copy the provided Username and Password for the lab
  2. Click Open console in private mode

Sign in to the Console

  1. Sign in using your lab credentials. Using other credentials might cause errors or incur charges.
  2. Accept the terms, and skip the recovery resource page
  3. Don't click End lab unless you've finished the lab or want to restart it, as it will clear your work and remove the project

此内容目前不可用

一旦可用,我们会通过电子邮件告知您

太好了!

一旦可用,我们会通过电子邮件告知您

One lab at a time

Confirm to end all existing labs and start this one

Setup your console before you begin

Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.