arrow_back

Cloud IAM:Qwik Start

登录 加入
Quick tip: Review the prerequisites before you run the lab
Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the student account, which may cause extra charges incurred to your personal account.
欢迎加入我们的社区,一起测试和分享您的知识!
done
学习 700 多个动手实验和课程并获得相关技能徽章

Cloud IAM:Qwik Start

实验 45 分钟 universal_currency_alt 1 个积分 show_chart 入门级
info 此实验可能会提供 AI 工具来支持您学习。
欢迎加入我们的社区,一起测试和分享您的知识!
done
学习 700 多个动手实验和课程并获得相关技能徽章

GSP064

Google Cloud 自学实验的徽标

概览

借助 Google Cloud 的 Identity and Access Management (IAM) 服务,您可以为 Google Cloud 资源创建和管理权限。Cloud IAM 将各项 Google Cloud 服务的访问权限控制措施整合到单个系统中,从而带来统一的操作体验。

在本实验中,您将使用 2 套不同的凭据来登录系统,体验如何通过 Google Cloud 项目的“Project Owner”和“Project Viewer”角色来授予及撤消权限。

学习内容

  • 为第二位用户分配角色
  • 移除与 Cloud IAM 关联的已分配角色

前提条件

本实验是入门级实验。您几乎无需具备 Cloud IAM 方面的知识背景。如果您之前使用过 Cloud Storage,这会有助于您完成本实验中的任务,但这不是硬性要求。确保您拥有可用的 .txt 或 .html 文件。如果您希望学习 Cloud IAM 的高级技能,务必完成以下 Google Cloud Skills Boost 实验:IAM 自定义角色

准备就绪后,请向下滚动页面,并按步骤设置实验环境。

设置和要求

如前所述,本实验提供了两套凭据,以展示 IAM 政策以及特定角色拥有哪些权限。

在实验左侧的实验连接面板中,您会看到一列类似下面的凭据:

提供了实验凭据的“实验连接”面板

请注意,这里共有 2 个用户名,即“用户名 1”和“用户名 2”。它们代表 2 种 Cloud IAM 身份,并且分别拥有不同的访问权限。我们已为您分配了项目,您能够对其中的 Google Cloud 资源执行哪些操作,取决于您所拥有的“角色”。

以第一位用户的身份登录 Cloud 控制台

  1. 点击打开 Google 控制台按钮。系统会打开一个新的浏览器标签页。如果您看到选择账号的提示,请点击使用其他账号
  2. 您会进入 Google Cloud 登录页面。复制用户名 1 的凭据(类似于 googlexxxxxx_student@qwiklabs.net),并粘贴到登录页面的“电子邮件地址或电话号码”字段中,然后点击下一步
  3. 复制实验连接面板中的密码,并粘贴到 Google 登录页面的“密码”字段中。
  4. 点击下一步,然后接受服务条款。您会进入 Cloud 控制台。同意服务条款并点击同意并继续

以第二位用户的身份登录 Cloud 控制台

  1. 再次点击打开 Google 控制台按钮。系统会打开一个新的浏览器标签页,如果您看到选择账号的提示,请点击使用其他账号
  2. 您会进入 Google Cloud 登录页面。复制用户名 2 的凭据(类似于 googlexxxxxx_student@qwiklabs.net),并粘贴到登录页面的电子邮件地址或电话号码字段中,然后点击下一步
  3. 复制实验连接面板中的密码,并粘贴到 Google 登录页面的“密码”字段中。
  4. 点击下一步,然后接受服务条款。您会进入 Cloud 控制台。同意服务条款并点击同意并继续

现在,您应该在浏览器的两个标签页中都打开了 Cloud 控制台,一个登录的是“用户名 1”,另一个登录的是“用户名 2”。

查看或重置浏览器标签页中登录的用户

有时,某个浏览器标签页中登录的用户会被覆盖,或者您不太确定浏览器标签页中登录的是哪个用户。

如需确定某个浏览器标签页中登录的是哪个用户,请将光标悬停在您的头像上方,即可查看您在该浏览器标签页中使用的用户名。

悬停在头像上以查看用户名

如需重置浏览器标签页中登录的用户,请执行以下操作:

  1. 点击您的头像,然后点击退出账号以退出登录。
  2. 点击实验连接面板中的打开 Google 控制台,然后使用合适的用户名和密码重新登录。

任务 1. 浏览 IAM 控制台和项目级角色

  1. 返回用户名 1 的 Cloud 控制台页面。
  2. 依次选择导航菜单 > IAM 和管理 > IAM。您现在位于“IAM 和管理”控制台。
  3. 点击页面顶部的 +授予访问权限按钮。
  4. 在“选择角色”部分,向下滚动到基本并将鼠标悬停在上面。

其中包含三个角色:

  • Editor
  • Owner
  • Viewer

这些是 Google Cloud 提供的“原初角色”。原初角色确定用户的项目级权限,除非另行指定,否则这些角色会控制用户对所有 Google Cloud 服务的访问和管理。

下表摘录了 Google Cloud IAM 文章基本角色中的相关定义,简要概述 Browser、Viewer、Editor 和 Owner 角色的权限:

角色名称

权限

roles/viewer

有权执行不影响状态的只读操作,如查看(但不能修改)现有资源或数据。

roles/editor

拥有所有 Viewer(查看者)权限,此外还有权执行会修改状态的操作(如更改现有资源)。

roles/owner

拥有所有 Editor(编辑者)权限,此外还有权执行以下操作:

  • 管理项目及项目中所有资源的角色和权限。
  • 为项目设置结算功能。

由于您能管理此项目的角色和权限,所以“用户名 1”拥有“Project Owner”权限。

  1. 点击取消以退出“添加主账号”面板。

浏览 Editor 角色

现在,切换至用户名 2 的控制台。

  1. 前往“IAM 和管理”控制台,方法是依次选择导航菜单 > IAM 和管理 > IAM

  2. 在表格中找到“用户名 1”和“用户名 2”,并查看已授予他们的角色。“用户名 1”和“用户名 2”的角色会直接显示在相应用户右侧。

您应该会看到:

  • “用户名 2”已被授予“Viewer”角色。
  • 顶部的 +授予访问权限按钮显示为灰色,如果您尝试点击该按钮,则会看到以下消息:“您需要有相关权限才能执行此操作。必需的权限:资源 manager.projects.setIamPolicy”。

此示例展示 IAM 角色如何影响您能在 Google Cloud 中执行的操作。

  1. 切换回用户名 1 的控制台,以执行下一步。

任务 2. 准备 Cloud Storage 存储桶以进行访问权限测试

确保您所在的是用户名 1 的 Cloud 控制台。

创建存储桶

  1. 创建一个 Cloud Storage 存储桶,并指定唯一名称。在 Cloud 控制台中,依次选择导航菜单 > Cloud Storage > 存储桶

  2. 点击 +创建

注意:如果您在创建存储桶时遇到权限错误,请退出当前账号,然后使用“用户名 1”的凭据重新登录。
  1. 请更新以下字段,其余所有字段保留默认值即可:

属性

名称

自行创建一个全局唯一名称,然后点击继续

位置类型

多区域

记下存储桶名称。您将在后面的步骤中用到它。

  1. 点击创建

  2. 如果出现“系统将禁止公开访问”的提示,点击确认

注意:如果您在创建存储桶时遇到权限错误,请退出当前账号,然后使用“用户名 1”的凭据重新登录。

上传示例文件

  1. 在“存储桶详情”页面,点击上传文件

  2. 在您的计算机中找到要使用的文件。任何文本文件或 html 文件都可以。

  3. 点击文件所在行末尾的三个点,然后点击重命名

  4. 将文件重命名为“sample.txt”。

  5. 点击重命名

点击检查我的进度以验证是否完成了以下目标:

创建存储桶并上传示例文件

验证 Project Viewer 的访问权限

  1. 切换至用户名 2 的控制台。

  2. 在 Cloud 控制台中,依次选择导航菜单 > Cloud Storage > 存储桶。验证此用户能否查看该存储桶。

“用户名 2”拥有“Viewer”角色,可以执行不影响状态的只读操作。此示例展示了这项功能,即拥有“Viewer”角色的用户可以查看他们有权访问的 Google Cloud 项目中托管的 Cloud Storage 存储桶和文件。

任务 3. 移除项目访问权限

切换至用户名 1 的控制台。

移除“用户名 2”的“Project Viewer”访问权限

  1. 依次选择导航菜单 > IAM 和管理 > IAM。然后点击直接显示在用户名 2 右侧的铅笔图标。
注意:您可能需要将浏览器窗口拉宽才能看到铅笔图标。
  1. 点击该角色名称旁边的垃圾箱图标,以移除用户名 2 的“Project Viewer”访问权限。然后,点击保存

您会发现该用户已从成员列表中消失!该用户现在已经失去了访问权限。

提示:此类更改最多可能需要 80 秒才能全面生效。在 Google Cloud IAMResource 文档常见问题解答中详细了解 Google Cloud IAM。

验证“用户名 2”已失去访问权限

  1. 切换至用户名 2 的 Cloud 控制台。确保您仍然处于已使用“用户名 2”的凭据登录的状态,并且在权限撤消后没有从项目中退出登录。如果您已退出,请使用正确的凭据重新登录。

  2. 依次选择导航菜单 > Cloud Storage > 存储桶,返回 Cloud Storage。

您应该会看到权限错误的消息。

注意:如前所述,撤销权限最多可能需要 80 秒才能生效。如果您未收到权限错误消息,请等待 2 分钟,然后尝试刷新控制台。

点击检查我的进度以验证是否完成了以下目标:

移除项目访问权限

任务 4. 添加 Cloud Storage 权限

  1. 复制实验连接面板中的用户名 2 的名称。

  2. 切换至用户名 1 的控制台。确保您仍然处于已使用“用户名 1”的凭据登录的状态。如果您已退出,请使用正确的凭据重新登录。

  3. 在控制台中,依次选择导航菜单 > IAM 和管理 > IAM

  4. 点击 +授予访问权限按钮,然后将用户名 2 的名称复制到新的主账号字段中。

  5. 选择角色字段中,从下拉菜单选择 Cloud Storage > Storage Object Viewer

  6. 点击保存

验证访问权限

  1. 切换至用户名 2 的控制台。您仍在 Storage 页面。

用户名 2 没有“Project Viewer”角色,所以该用户无法在控制台中查看项目或其任何资源。不过,该用户对 Cloud Storage 拥有“Storage Object Viewer”角色所具有的特定访问权限。您可以通过以下方式验证:

  1. 点击激活 Cloud Shell 用于激活 Cloud Shell 的图标 以打开 Cloud Shell 命令行。如果看到提示,点击继续

  2. 打开一个 Cloud Shell 会话,然后输入以下命令,并将 [YOUR_BUCKET_NAME] 替换为之前创建的存储桶的名称:

gsutil ls gs://[您的存储桶的名称]

您应该会收到类似如下输出结果:

gs://[您的存储桶的名称]/sample.txt 注意:如果您看到 AccessDeniedException,请等待一分钟,然后重新运行之前的命令。
  1. 如您所见,您为用户名 2 授予了对 Cloud Storage 存储桶的查看权限。

点击检查我的进度以验证是否完成了以下目标:

添加 Cloud Storage 权限

恭喜!

在此实验中,您练习了如何向用户授予 Cloud IAM 角色以及撤消角色。

后续步骤/了解详情

本实验也是 Qwik 快速入门系列实验的其中一项。通过这些实验,您可以一窥 Google Cloud 的诸多功能。请在 Google Cloud Skills Boost 目录中搜索“Qwik Starts”,找到您要参与的下一项实验!

Google Cloud 培训和认证

…可帮助您充分利用 Google Cloud 技术。我们的课程会讲解各项技能与最佳实践,可帮助您迅速上手使用并继续学习更深入的知识。我们提供从基础到高级的全方位培训,并有点播、直播和虚拟三种方式选择,让您可以按照自己的日程安排学习时间。各项认证可以帮助您核实并证明您在 Google Cloud 技术方面的技能与专业知识。

上次更新手册的时间:2024 年 4 月 15 日

上次测试实验的时间:2024 年 4 月 8 日

版权所有 2025 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名和产品名可能是其各自相关公司的商标。

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

Use private browsing

  1. Copy the provided Username and Password for the lab
  2. Click Open console in private mode

Sign in to the Console

  1. Sign in using your lab credentials. Using other credentials might cause errors or incur charges.
  2. Accept the terms, and skip the recovery resource page
  3. Don't click End lab unless you've finished the lab or want to restart it, as it will clear your work and remove the project

此内容目前不可用

一旦可用,我们会通过电子邮件告知您

太好了!

一旦可用,我们会通过电子邮件告知您

One lab at a time

Confirm to end all existing labs and start this one

Setup your console before you begin

Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.