![](https://cdn.qwiklabs.com/assets/labs/start_lab-f45aca49782d4033c3ff688160387ac98c66941d.png)
Before you begin
- Labs create a Google Cloud project and resources for a fixed time
- Labs have a time limit and no pause feature. If you restart it, you'll have to start from the beginning.
- On the top left of your screen, click Start lab to begin
Create a bucket and upload a sample file
/ 20
Remove project access
/ 40
Add Storage permissions
/ 40
借助 Google Cloud 的 Identity and Access Management (IAM) 服务,您可以为 Google Cloud 资源创建和管理权限。Cloud IAM 将各项 Google Cloud 服务的访问权限控制措施整合到单个系统中,从而带来统一的操作体验。
在本实验中,您将使用 2 套不同的凭据来登录系统,体验如何通过 Google Cloud 项目的“Project Owner”和“Project Viewer”角色来授予及撤消权限。
本实验是入门级实验。您几乎无需具备 Cloud IAM 方面的知识背景。如果您之前使用过 Cloud Storage,这会有助于您完成本实验中的任务,但这不是硬性要求。确保您拥有可用的 .txt 或 .html 文件。如果您希望学习 Cloud IAM 的高级技能,务必完成以下 Google Cloud Skills Boost 实验:IAM 自定义角色。
准备就绪后,请向下滚动页面,并按步骤设置实验环境。
如前所述,本实验提供了两套凭据,以展示 IAM 政策以及特定角色拥有哪些权限。
在实验左侧的实验连接面板中,您会看到一列类似下面的凭据:
请注意,这里共有 2 个用户名,即“用户名 1”和“用户名 2”。它们代表 2 种 Cloud IAM 身份,并且分别拥有不同的访问权限。我们已为您分配了项目,您能够对其中的 Google Cloud 资源执行哪些操作,取决于您所拥有的“角色”。
googlexxxxxx_student@qwiklabs.net
),并粘贴到登录页面的“电子邮件地址或电话号码”字段中,然后点击下一步。googlexxxxxx_student@qwiklabs.net
),并粘贴到登录页面的电子邮件地址或电话号码字段中,然后点击下一步。现在,您应该在浏览器的两个标签页中都打开了 Cloud 控制台,一个登录的是“用户名 1”,另一个登录的是“用户名 2”。
有时,某个浏览器标签页中登录的用户会被覆盖,或者您不太确定浏览器标签页中登录的是哪个用户。
如需确定某个浏览器标签页中登录的是哪个用户,请将光标悬停在您的头像上方,即可查看您在该浏览器标签页中使用的用户名。
如需重置浏览器标签页中登录的用户,请执行以下操作:
其中包含三个角色:
这些是 Google Cloud 提供的“原初角色”。原初角色确定用户的项目级权限,除非另行指定,否则这些角色会控制用户对所有 Google Cloud 服务的访问和管理。
下表摘录了 Google Cloud IAM 文章基本角色中的相关定义,简要概述 Browser、Viewer、Editor 和 Owner 角色的权限:
角色名称 |
权限 |
roles/viewer |
有权执行不影响状态的只读操作,如查看(但不能修改)现有资源或数据。 |
roles/editor |
拥有所有 Viewer(查看者)权限,此外还有权执行会修改状态的操作(如更改现有资源)。 |
roles/owner |
拥有所有 Editor(编辑者)权限,此外还有权执行以下操作:
|
由于您能管理此项目的角色和权限,所以“用户名 1”拥有“Project Owner”权限。
现在,切换至用户名 2 的控制台。
前往“IAM 和管理”控制台,方法是依次选择导航菜单 > IAM 和管理 > IAM。
在表格中找到“用户名 1”和“用户名 2”,并查看已授予他们的角色。“用户名 1”和“用户名 2”的角色会直接显示在相应用户右侧。
您应该会看到:
此示例展示 IAM 角色如何影响您能在 Google Cloud 中执行的操作。
确保您所在的是用户名 1 的 Cloud 控制台。
创建一个 Cloud Storage 存储桶,并指定唯一名称。在 Cloud 控制台中,依次选择导航菜单 > Cloud Storage > 存储桶。
点击 +创建。
属性 |
值 |
名称: |
自行创建一个全局唯一名称,然后点击继续。 |
位置类型: |
多区域 |
记下存储桶名称。您将在后面的步骤中用到它。
点击创建。
如果出现“系统将禁止公开访问”的提示,点击确认。
在“存储桶详情”页面,点击上传文件。
在您的计算机中找到要使用的文件。任何文本文件或 html 文件都可以。
点击文件所在行末尾的三个点,然后点击重命名。
将文件重命名为“sample.txt
”。
点击重命名。
点击检查我的进度以验证是否完成了以下目标:
切换至用户名 2 的控制台。
在 Cloud 控制台中,依次选择导航菜单 > Cloud Storage > 存储桶。验证此用户能否查看该存储桶。
“用户名 2”拥有“Viewer”角色,可以执行不影响状态的只读操作。此示例展示了这项功能,即拥有“Viewer”角色的用户可以查看他们有权访问的 Google Cloud 项目中托管的 Cloud Storage 存储桶和文件。
切换至用户名 1 的控制台。
您会发现该用户已从成员列表中消失!该用户现在已经失去了访问权限。
切换至用户名 2 的 Cloud 控制台。确保您仍然处于已使用“用户名 2”的凭据登录的状态,并且在权限撤消后没有从项目中退出登录。如果您已退出,请使用正确的凭据重新登录。
依次选择导航菜单 > Cloud Storage > 存储桶,返回 Cloud Storage。
您应该会看到权限错误的消息。
点击检查我的进度以验证是否完成了以下目标:
复制实验连接面板中的用户名 2 的名称。
切换至用户名 1 的控制台。确保您仍然处于已使用“用户名 1”的凭据登录的状态。如果您已退出,请使用正确的凭据重新登录。
在控制台中,依次选择导航菜单 > IAM 和管理 > IAM。
点击 +授予访问权限按钮,然后将用户名 2 的名称复制到新的主账号字段中。
在选择角色字段中,从下拉菜单选择 Cloud Storage > Storage Object Viewer。
点击保存。
用户名 2 没有“Project Viewer”角色,所以该用户无法在控制台中查看项目或其任何资源。不过,该用户对 Cloud Storage 拥有“Storage Object Viewer”角色所具有的特定访问权限。您可以通过以下方式验证:
点击激活 Cloud Shell 以打开 Cloud Shell 命令行。如果看到提示,点击继续。
打开一个 Cloud Shell 会话,然后输入以下命令,并将 [YOUR_BUCKET_NAME]
替换为之前创建的存储桶的名称:
您应该会收到类似如下输出结果:
AccessDeniedException
,请等待一分钟,然后重新运行之前的命令。点击检查我的进度以验证是否完成了以下目标:
在此实验中,您练习了如何向用户授予 Cloud IAM 角色以及撤消角色。
本实验也是 Qwik 快速入门系列实验的其中一项。通过这些实验,您可以一窥 Google Cloud 的诸多功能。请在 Google Cloud Skills Boost 目录中搜索“Qwik Starts”,找到您要参与的下一项实验!
…可帮助您充分利用 Google Cloud 技术。我们的课程会讲解各项技能与最佳实践,可帮助您迅速上手使用并继续学习更深入的知识。我们提供从基础到高级的全方位培训,并有点播、直播和虚拟三种方式选择,让您可以按照自己的日程安排学习时间。各项认证可以帮助您核实并证明您在 Google Cloud 技术方面的技能与专业知识。
上次更新手册的时间:2024 年 4 月 15 日
上次测试实验的时间:2024 年 4 月 8 日
版权所有 2025 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名和产品名可能是其各自相关公司的商标。