arrow_back

Cloud IAM:Qwik Start

登录 加入
欢迎加入我们的社区,一起测试和分享您的知识!
done
学习 700 多个动手实验和课程并获得相关技能徽章

Cloud IAM:Qwik Start

实验 45 分钟 universal_currency_alt 1 个积分 show_chart 入门级
info 此实验可能会提供 AI 工具来支持您学习。
欢迎加入我们的社区,一起测试和分享您的知识!
done
学习 700 多个动手实验和课程并获得相关技能徽章

GSP064

Google Cloud 自定进度实验

概览

借助 Google Cloud 的 Identity and Access Management (IAM) 服务,您可以为 Google Cloud 资源创建和管理权限。Cloud IAM 将各项 Google Cloud 服务的访问权限控制措施整合到单个系统中,从而带来统一的操作体验。

在本实验中,您将使用 2 套不同的凭据来登录系统,体验如何通过 Google Cloud 项目的“Project Owner”和“Project Viewer”角色来授予及撤消权限。

学习内容

  • 为第二位用户分配角色
  • 移除与 Cloud IAM 关联的已分配角色

前提条件

本实验是入门级实验。您几乎无需具备 Cloud IAM 方面的知识背景。如果您之前使用过 Cloud Storage,这会有助于您完成本实验中的任务,但这不是硬性要求。确保您拥有可用的 .txt 或 .html 文件。如果您希望学习 Cloud IAM 的高级技能,务必完成以下 Google Cloud Skills Boost 实验:IAM 自定义角色

准备就绪后,请向下滚动页面,并按步骤设置实验环境。

设置和要求

如前所述,本实验提供了两套凭据,以展示 IAM 政策以及特定角色拥有哪些权限。

在实验左侧的实验连接面板中,您会看到一列类似下面的凭据:

提供了实验凭据的“实验连接”面板

请注意,这里共有 2 个用户名,即“用户名 1”和“用户名 2”。它们代表 2 种 Cloud IAM 身份,并且分别拥有不同的访问权限。我们已为您分配了项目,您能够对其中的 Google Cloud 资源执行哪些操作,取决于您所拥有的“角色”。

以第一位用户的身份登录 Cloud 控制台

  1. 点击打开 Google 控制台按钮。系统会打开一个新的浏览器标签页。如果您看到选择账号的提示,请点击使用其他账号
  2. 您会进入 Google Cloud 登录页面。复制用户名 1 的凭据(类似于 googlexxxxxx_student@qwiklabs.net),并粘贴到登录页面的“电子邮件地址或电话号码”字段中,然后点击下一步
  3. 复制实验连接面板中的密码,并粘贴到 Google 登录页面的“密码”字段中。
  4. 点击下一步,然后接受服务条款。您会进入 Cloud 控制台。同意服务条款并点击同意并继续

以第二位用户的身份登录 Cloud 控制台

  1. 再次点击打开 Google 控制台按钮。系统会打开一个新的浏览器标签页,如果您看到选择账号的提示,请点击使用其他账号
  2. 您会进入 Google Cloud 登录页面。复制用户名 2 的凭据(类似于 googlexxxxxx_student@qwiklabs.net),并粘贴到登录页面的电子邮件地址或电话号码字段中,然后点击下一步
  3. 复制实验连接面板中的密码,并粘贴到 Google 登录页面的“密码”字段中。
  4. 点击下一步,然后接受服务条款。您会进入 Cloud 控制台。同意服务条款并点击同意并继续

现在,您应该在浏览器的两个标签页中都打开了 Cloud 控制台,一个登录的是“用户名 1”,另一个登录的是“用户名 2”。

查看或重置浏览器标签页中登录的用户

有时,某个浏览器标签页中登录的用户会被覆盖,或者您不太确定浏览器标签页中登录的是哪个用户。

如需确定某个浏览器标签页中登录的是哪个用户,请将光标悬停在您的头像上方,即可查看您在该浏览器标签页中使用的用户名。

悬停在头像上以查看用户名

如需重置浏览器标签页中登录的用户,请执行以下操作:

  1. 点击您的头像,然后点击退出账号以退出登录。
  2. 点击实验连接面板中的打开 Google 控制台,然后使用合适的用户名和密码重新登录。

任务 1. 浏览 IAM 控制台和项目级角色

  1. 返回用户名 1 的 Cloud 控制台页面。
  2. 依次选择导航菜单 > IAM 和管理 > IAM。您现在位于“IAM 和管理”控制台。
  3. 点击页面顶部的 +授予访问权限按钮。
  4. 在“选择角色”部分,向下滚动到基本并将鼠标悬停在上面。

其中包含三个角色:

  • Editor
  • Owner
  • Viewer

这些是 Google Cloud 提供的“原初角色”。原初角色确定用户的项目级权限,除非另行指定,否则这些角色会控制用户对所有 Google Cloud 服务的访问和管理。

下表摘录了 Google Cloud IAM 文章基本角色中的相关定义,简要概述 Browser、Viewer、Editor 和 Owner 角色的权限:

角色名称

权限

roles/viewer

有权执行不影响状态的只读操作,如查看(但不能修改)现有资源或数据。

roles/editor

拥有所有 Viewer(查看者)权限,此外还有权执行会修改状态的操作(如更改现有资源)。

roles/owner

拥有所有 Editor(编辑者)权限,此外还有权执行以下操作:

  • 管理项目及项目中所有资源的角色和权限。
  • 为项目设置结算功能。

由于您能管理此项目的角色和权限,所以“用户名 1”拥有“Project Owner”权限。

  1. 点击取消以退出“添加主账号”面板。

浏览 Editor 角色

现在,切换至用户名 2 的控制台。

  1. 前往“IAM 和管理”控制台,方法是依次选择导航菜单 > IAM 和管理 > IAM

  2. 在表格中找到“用户名 1”和“用户名 2”,并查看已授予他们的角色。“用户名 1”和“用户名 2”的角色会直接显示在相应用户右侧。

您应该会看到:

  • “用户名 2”已被授予“Viewer”角色。
  • 顶部的 +授予访问权限按钮显示为灰色,如果您尝试点击该按钮,则会看到以下消息:“您需要有相关权限才能执行此操作。必需的权限:资源 manager.projects.setIamPolicy”。

此示例展示 IAM 角色如何影响您能在 Google Cloud 中执行的操作。

  1. 切换回用户名 1 的控制台,以执行下一步。

任务 2. 准备 Cloud Storage 存储桶以进行访问权限测试

确保您所在的是用户名 1 的 Cloud 控制台。

创建存储桶

  1. 创建一个 Cloud Storage 存储桶,并指定唯一名称。在 Cloud 控制台中,依次选择导航菜单 > Cloud Storage > 存储桶

  2. 点击 +创建

注意:如果您在创建存储桶时遇到权限错误,请退出当前账号,然后使用“用户名 1”的凭据重新登录。
  1. 请更新以下字段,其余所有字段保留默认值即可:

属性

名称

自行创建一个全局唯一名称,然后点击继续

位置类型

多区域

记下存储桶名称。您将在后面的步骤中用到它。

  1. 点击创建

  2. 如果出现“系统将禁止公开访问”的提示,点击确认

注意:如果您在创建存储桶时遇到权限错误,请退出当前账号,然后使用“用户名 1”的凭据重新登录。

上传示例文件

  1. 在“存储桶详情”页面,点击上传文件

  2. 在您的计算机中找到要使用的文件。任何文本文件或 html 文件都可以。

  3. 点击文件所在行末尾的三个点,然后点击重命名

  4. 将文件重命名为“sample.txt”。

  5. 点击重命名

点击检查我的进度以验证是否完成了以下目标:

创建存储桶并上传示例文件

验证 Project Viewer 的访问权限

  1. 切换至用户名 2 的控制台。

  2. 在 Cloud 控制台中,依次选择导航菜单 > Cloud Storage > 存储桶。验证此用户能否查看该存储桶。

“用户名 2”拥有“Viewer”角色,可以执行不影响状态的只读操作。此示例展示了这项功能,即拥有“Viewer”角色的用户可以查看他们有权访问的 Google Cloud 项目中托管的 Cloud Storage 存储桶和文件。

任务 3. 移除项目访问权限

切换至用户名 1 的控制台。

移除“用户名 2”的“Project Viewer”访问权限

  1. 依次选择导航菜单 > IAM 和管理 > IAM。然后点击直接显示在用户名 2 右侧的铅笔图标。
注意:您可能需要将浏览器窗口拉宽才能看到铅笔图标。
  1. 点击该角色名称旁边的垃圾箱图标,以移除用户名 2 的“Project Viewer”访问权限。然后,点击保存

您会发现该用户已从成员列表中消失!该用户现在已经失去了访问权限。

提示:此类更改最多可能需要 80 秒才能全面生效。在 Google Cloud IAMResource 文档常见问题解答中详细了解 Google Cloud IAM。

验证“用户名 2”已失去访问权限

  1. 切换至用户名 2 的 Cloud 控制台。确保您仍然处于已使用“用户名 2”的凭据登录的状态,并且在权限撤消后没有从项目中退出登录。如果您已退出,请使用正确的凭据重新登录。

  2. 依次选择导航菜单 > Cloud Storage > 存储桶,返回 Cloud Storage。

您应该会看到权限错误的消息。

注意:如前所述,撤销权限最多可能需要 80 秒才能生效。如果您未收到权限错误消息,请等待 2 分钟,然后尝试刷新控制台。

点击检查我的进度以验证是否完成了以下目标:

移除项目访问权限

任务 4. 添加 Cloud Storage 权限

  1. 复制实验连接面板中的用户名 2 的名称。

  2. 切换至用户名 1 的控制台。确保您仍然处于已使用“用户名 1”的凭据登录的状态。如果您已退出,请使用正确的凭据重新登录。

  3. 在控制台中,依次选择导航菜单 > IAM 和管理 > IAM

  4. 点击 +授予访问权限按钮,然后将用户名 2 的名称复制到新的主账号字段中。

  5. 选择角色字段中,从下拉菜单选择 Cloud Storage > Storage Object Viewer

  6. 点击保存

验证访问权限

  1. 切换至用户名 2 的控制台。您仍在 Storage 页面。

用户名 2 没有“Project Viewer”角色,所以该用户无法在控制台中查看项目或其任何资源。不过,该用户对 Cloud Storage 拥有“Storage Object Viewer”角色所具有的特定访问权限。您可以通过以下方式验证:

  1. 点击激活 Cloud Shell 用于激活 Cloud Shell 的图标 以打开 Cloud Shell 命令行。如果看到提示,点击继续

  2. 打开一个 Cloud Shell 会话,然后输入以下命令,并将 [YOUR_BUCKET_NAME] 替换为之前创建的存储桶的名称:

gsutil ls gs://[您的存储桶的名称]

您应该会收到类似如下输出结果:

gs://[您的存储桶的名称]/sample.txt 注意:如果您看到 AccessDeniedException,请等待一分钟,然后重新运行之前的命令。
  1. 如您所见,您为用户名 2 授予了对 Cloud Storage 存储桶的查看权限。

点击检查我的进度以验证是否完成了以下目标:

添加 Cloud Storage 权限

恭喜!

在此实验中,您练习了如何向用户授予 Cloud IAM 角色以及撤消角色。

后续步骤/了解详情

本实验也是 Qwik 快速入门系列实验的其中一项。通过这些实验,您可以一窥 Google Cloud 的诸多功能。请在 Google Cloud Skills Boost 目录中搜索“Qwik Starts”,找到您要参与的下一项实验!

Google Cloud 培训和认证

…可帮助您充分利用 Google Cloud 技术。我们的课程会讲解各项技能与最佳实践,可帮助您迅速上手使用并继续学习更深入的知识。我们提供从基础到高级的全方位培训,并有点播、直播和虚拟三种方式选择,让您可以按照自己的日程安排学习时间。各项认证可以帮助您核实并证明您在 Google Cloud 技术方面的技能与专业知识。

上次更新手册的时间:2024 年 4 月 15 日

上次测试实验的时间:2024 年 4 月 8 日

版权所有 2024 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名和产品名可能是其各自相关公司的商标。

此内容目前不可用

一旦可用,我们会通过电子邮件告知您

太好了!

一旦可用,我们会通过电子邮件告知您