Before you begin
- Labs create a Google Cloud project and resources for a fixed time
- Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
- On the top left of your screen, click Start lab to begin
检查点
Create a bucket and upload a sample file
/ 20
Remove project access
/ 40
Add Storage permissions
/ 40
Quick tip: Review the prerequisites before you run the lab
Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the student account, which may cause extra charges incurred to your personal account.
欢迎加入我们的社区,一起测试和分享您的知识!
Cloud IAM:Qwik Start
实验说明和任务
欢迎加入我们的社区,一起测试和分享您的知识!
GSP064
概览
借助 Google Cloud 的 Identity and Access Management (IAM) 服务,您可以为 Google Cloud 资源创建和管理权限。Cloud IAM 将各项 Google Cloud 服务的访问权限控制措施整合到单个系统中,从而带来统一的操作体验。
在本实验中,您将使用 2 套不同的凭据来登录系统,体验如何通过 Google Cloud 项目的“Project Owner”和“Project Viewer”角色来授予及撤消权限。
学习内容
- 为第二位用户分配角色
- 移除与 Cloud IAM 关联的已分配角色
前提条件
本实验是入门级实验。您几乎无需具备 Cloud IAM 方面的知识背景。如果您之前使用过 Cloud Storage,这会有助于您完成本实验中的任务,但这不是硬性要求。确保您拥有可用的 .txt 或 .html 文件。如果您希望学习 Cloud IAM 的高级技能,务必完成以下 Google Cloud Skills Boost 实验:IAM 自定义角色。
准备就绪后,请向下滚动页面,并按步骤设置实验环境。
设置和要求
如前所述,本实验提供了两套凭据,以展示 IAM 政策以及特定角色拥有哪些权限。
在实验左侧的实验连接面板中,您会看到一列类似下面的凭据:
请注意,这里共有 2 个用户名,即“用户名 1”和“用户名 2”。它们代表 2 种 Cloud IAM 身份,并且分别拥有不同的访问权限。我们已为您分配了项目,您能够对其中的 Google Cloud 资源执行哪些操作,取决于您所拥有的“角色”。
以第一位用户的身份登录 Cloud 控制台
- 点击打开 Google 控制台按钮。系统会打开一个新的浏览器标签页。如果您看到选择账号的提示,请点击使用其他账号。
- 您会进入 Google Cloud 登录页面。复制用户名 1 的凭据(类似于
googlexxxxxx_student@qwiklabs.net),并粘贴到登录页面的“电子邮件地址或电话号码”字段中,然后点击下一步。 - 复制实验连接面板中的密码,并粘贴到 Google 登录页面的“密码”字段中。
- 点击下一步,然后接受服务条款。您会进入 Cloud 控制台。同意服务条款并点击同意并继续。
以第二位用户的身份登录 Cloud 控制台
- 再次点击打开 Google 控制台按钮。系统会打开一个新的浏览器标签页,如果您看到选择账号的提示,请点击使用其他账号。
- 您会进入 Google Cloud 登录页面。复制用户名 2 的凭据(类似于
googlexxxxxx_student@qwiklabs.net),并粘贴到登录页面的电子邮件地址或电话号码字段中,然后点击下一步。 - 复制实验连接面板中的密码,并粘贴到 Google 登录页面的“密码”字段中。
- 点击下一步,然后接受服务条款。您会进入 Cloud 控制台。同意服务条款并点击同意并继续。
现在,您应该在浏览器的两个标签页中都打开了 Cloud 控制台,一个登录的是“用户名 1”,另一个登录的是“用户名 2”。
查看或重置浏览器标签页中登录的用户
有时,某个浏览器标签页中登录的用户会被覆盖,或者您不太确定浏览器标签页中登录的是哪个用户。
如需确定某个浏览器标签页中登录的是哪个用户,请将光标悬停在您的头像上方,即可查看您在该浏览器标签页中使用的用户名。
如需重置浏览器标签页中登录的用户,请执行以下操作:
- 点击您的头像,然后点击退出账号以退出登录。
- 点击实验连接面板中的打开 Google 控制台,然后使用合适的用户名和密码重新登录。
任务 1. 浏览 IAM 控制台和项目级角色
- 返回用户名 1 的 Cloud 控制台页面。
- 依次选择导航菜单 > IAM 和管理 > IAM。您现在位于“IAM 和管理”控制台。
- 点击页面顶部的 +授予访问权限按钮。
- 在“选择角色”部分,向下滚动到基本并将鼠标悬停在上面。
其中包含三个角色:
- Editor
- Owner
- Viewer
这些是 Google Cloud 提供的“原初角色”。原初角色确定用户的项目级权限,除非另行指定,否则这些角色会控制用户对所有 Google Cloud 服务的访问和管理。
下表摘录了 Google Cloud IAM 文章基本角色中的相关定义,简要概述 Browser、Viewer、Editor 和 Owner 角色的权限:
|
角色名称 |
权限 |
|
roles/viewer |
有权执行不影响状态的只读操作,如查看(但不能修改)现有资源或数据。 |
|
roles/editor |
拥有所有 Viewer(查看者)权限,此外还有权执行会修改状态的操作(如更改现有资源)。 |
|
roles/owner |
拥有所有 Editor(编辑者)权限,此外还有权执行以下操作:
|
由于您能管理此项目的角色和权限,所以“用户名 1”拥有“Project Owner”权限。
- 点击取消以退出“添加主账号”面板。
浏览 Editor 角色
现在,切换至用户名 2 的控制台。
-
前往“IAM 和管理”控制台,方法是依次选择导航菜单 > IAM 和管理 > IAM。
-
在表格中找到“用户名 1”和“用户名 2”,并查看已授予他们的角色。“用户名 1”和“用户名 2”的角色会直接显示在相应用户右侧。
您应该会看到:
- “用户名 2”已被授予“Viewer”角色。
- 顶部的 +授予访问权限按钮显示为灰色,如果您尝试点击该按钮,则会看到以下消息:“您需要有相关权限才能执行此操作。必需的权限:资源 manager.projects.setIamPolicy”。
此示例展示 IAM 角色如何影响您能在 Google Cloud 中执行的操作。
- 切换回用户名 1 的控制台,以执行下一步。
任务 2. 准备 Cloud Storage 存储桶以进行访问权限测试
确保您所在的是用户名 1 的 Cloud 控制台。
创建存储桶
-
创建一个 Cloud Storage 存储桶,并指定唯一名称。在 Cloud 控制台中,依次选择导航菜单 > Cloud Storage > 存储桶。
-
点击 +创建。
- 请更新以下字段,其余所有字段保留默认值即可:
|
属性 |
值 |
|
名称: |
自行创建一个全局唯一名称,然后点击继续。 |
|
位置类型: |
多区域 |
记下存储桶名称。您将在后面的步骤中用到它。
-
点击创建。
-
如果出现“系统将禁止公开访问”的提示,点击确认。
上传示例文件
-
在“存储桶详情”页面,点击上传文件。
-
在您的计算机中找到要使用的文件。任何文本文件或 html 文件都可以。
-
点击文件所在行末尾的三个点,然后点击重命名。
-
将文件重命名为“
sample.txt”。 -
点击重命名。
点击检查我的进度以验证是否完成了以下目标:
验证 Project Viewer 的访问权限
-
切换至用户名 2 的控制台。
-
在 Cloud 控制台中,依次选择导航菜单 > Cloud Storage > 存储桶。验证此用户能否查看该存储桶。
“用户名 2”拥有“Viewer”角色,可以执行不影响状态的只读操作。此示例展示了这项功能,即拥有“Viewer”角色的用户可以查看他们有权访问的 Google Cloud 项目中托管的 Cloud Storage 存储桶和文件。
任务 3. 移除项目访问权限
切换至用户名 1 的控制台。
移除“用户名 2”的“Project Viewer”访问权限
- 依次选择导航菜单 > IAM 和管理 > IAM。然后点击直接显示在用户名 2 右侧的铅笔图标。
- 点击该角色名称旁边的垃圾箱图标,以移除用户名 2 的“Project Viewer”访问权限。然后,点击保存。
您会发现该用户已从成员列表中消失!该用户现在已经失去了访问权限。
验证“用户名 2”已失去访问权限
-
切换至用户名 2 的 Cloud 控制台。确保您仍然处于已使用“用户名 2”的凭据登录的状态,并且在权限撤消后没有从项目中退出登录。如果您已退出,请使用正确的凭据重新登录。
-
依次选择导航菜单 > Cloud Storage > 存储桶,返回 Cloud Storage。
您应该会看到权限错误的消息。
点击检查我的进度以验证是否完成了以下目标:
任务 4. 添加 Cloud Storage 权限
-
复制实验连接面板中的用户名 2 的名称。
-
切换至用户名 1 的控制台。确保您仍然处于已使用“用户名 1”的凭据登录的状态。如果您已退出,请使用正确的凭据重新登录。
-
在控制台中,依次选择导航菜单 > IAM 和管理 > IAM。
-
点击 +授予访问权限按钮,然后将用户名 2 的名称复制到新的主账号字段中。
-
在选择角色字段中,从下拉菜单选择 Cloud Storage > Storage Object Viewer。
-
点击保存。
验证访问权限
- 切换至用户名 2 的控制台。您仍在 Storage 页面。
用户名 2 没有“Project Viewer”角色,所以该用户无法在控制台中查看项目或其任何资源。不过,该用户对 Cloud Storage 拥有“Storage Object Viewer”角色所具有的特定访问权限。您可以通过以下方式验证:
-
点击激活 Cloud Shell
以打开 Cloud Shell 命令行。如果看到提示,点击继续。
-
打开一个 Cloud Shell 会话,然后输入以下命令,并将
[YOUR_BUCKET_NAME]替换为之前创建的存储桶的名称:
您应该会收到类似如下输出结果:
AccessDeniedException,请等待一分钟,然后重新运行之前的命令。- 如您所见,您为用户名 2 授予了对 Cloud Storage 存储桶的查看权限。
点击检查我的进度以验证是否完成了以下目标:
恭喜!
在此实验中,您练习了如何向用户授予 Cloud IAM 角色以及撤消角色。
后续步骤/了解详情
本实验也是 Qwik 快速入门系列实验的其中一项。通过这些实验,您可以一窥 Google Cloud 的诸多功能。请在 Google Cloud Skills Boost 目录中搜索“Qwik Starts”,找到您要参与的下一项实验!
Google Cloud 培训和认证
…可帮助您充分利用 Google Cloud 技术。我们的课程会讲解各项技能与最佳实践,可帮助您迅速上手使用并继续学习更深入的知识。我们提供从基础到高级的全方位培训,并有点播、直播和虚拟三种方式选择,让您可以按照自己的日程安排学习时间。各项认证可以帮助您核实并证明您在 Google Cloud 技术方面的技能与专业知识。
上次更新手册的时间:2024 年 4 月 15 日
上次测试实验的时间:2024 年 4 月 8 日
版权所有 2025 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名和产品名可能是其各自相关公司的商标。
