正在加载…
未找到任何结果。

    欢迎加入我们的社区,一起测试和分享您的知识!
    done
    学习 700 多个动手实验和课程并获得相关技能徽章

    Cloud IAM:Qwik Start

    实验 45 分钟 universal_currency_alt 1 积分 show_chart 入门级
    info 此实验可能会提供 AI 工具来支持您学习。
    欢迎加入我们的社区,一起测试和分享您的知识!
    done
    学习 700 多个动手实验和课程并获得相关技能徽章

    GSP064

    Google Cloud 自修研究室標誌

    總覽

    Google Cloud 的 Identity and Access Management (IAM) 服務可用來建立及管理 Google Cloud 資源的權限。Cloud IAM 將 Google Cloud 服務的存取控管整合至單一系統,提供一致的作業組合體驗。

    在這個實驗室中,您將使用 2 組不同的憑證登入,透過 Google Cloud「專案擁有者」和「檢視者」角色,體驗授予和撤銷權限的控管機制。

    課程內容

    • 將角色指派給第二位使用者
    • 移除與 Cloud IAM 相關的指派角色

    先備知識

    這是入門等級的實驗室,您不需要具備 Cloud IAM 的知識。熟悉 Cloud Storage 有助於完成本實驗室任務,但並非必須。請務必備妥 .txt 或 .html 格式的檔案。如想體驗更進階的 Cloud IAM 實作練習,請參考下列 Google Cloud Skills Boost 實驗室:IAM 自訂角色

    準備完成後,即可向下捲動頁面,按照步驟設定實驗室環境。

    設定和需求

    如前所述,這個實驗室會提供兩組憑證,用來說明 IAM 政策及特定角色擁有的權限。

    在實驗室左側的「Lab Connection」面板上,您會看到像這樣的一串憑證:

    提供實驗室憑證的實驗室連線面板

    請注意,一共有「兩組」使用者名稱:Username 1 和 Username 2。這些名稱代表使用者在 Cloud IAM 中的身分,分別有不同的存取權限。這些「角色」限定了您在分派到的專案中,可以或不能對 Google Cloud 資源進行的操作。

    以第一位使用者的身分登入 Cloud 控制台

    1. 點選「Open Google Console」按鈕,系統會開啟新瀏覽器分頁。如果系統要求您選擇帳戶,請點選「Use another account」
    2. Google Cloud 登入頁面會隨即開啟。登入頁面開啟後,複製 Username 1 憑證 (憑證看起來會像 googlexxxxxx_student@qwiklabs.net 這樣的格式),貼到「Email or phone」欄位,然後點選「Next」
    3. 複製「Lab Connection」面板中的密碼,然後貼到「Google Sign in password」欄位。
    4. 點選「Next」,然後按「Accept」接受服務條款。Cloud 控制台會隨即開啟,閱讀服務條款,然後點選「同意並繼續」

    以第二位使用者的身分登入 Cloud 控制台

    1. 再次點選「Open Google Console」按鈕,系統會開啟新瀏覽器分頁。如果系統要求您選擇帳戶,請點選「Use another account」
    2. Google Cloud 登入頁面會隨即開啟。複製 Username 2 憑證 (憑證看起來會像 googlexxxxxx_student@qwiklabs.net 這樣的格式),貼到「Email or phone」欄位,然後點選「Next」
    3. 複製「Lab Connection」面板中的密碼,然後貼到「Google Sign in password」欄位。
    4. 點選「Next」,然後按「Accept」接受服務條款。Cloud 控制台會隨即開啟,閱讀服務條款,然後點選「同意並繼續」

    瀏覽器現在應該會有兩個開啟中的 Cloud 控制台分頁,一個登入身分是 Username 1,另一個則是 Username 2。

    在瀏覽器分頁中查看或重設使用者

    有時候瀏覽器分頁中的使用者會遭到覆寫,或者您有可能不清楚是哪位使用者登入哪個瀏覽器分頁。

    如要查看登入瀏覽器分頁的使用者身分,請將滑鼠游標懸停在顯示圖片上,即可查看登入該瀏覽器分頁的使用者名稱。

    將滑鼠游標懸停在顯示圖片上,查看使用者名稱

    重設登入瀏覽器分頁的使用者:

    1. 點選顯示圖片和「Sign out」完成登出操作。
    2. 在「Lab Connection」面板中點按「Open Google Console」,然後以適用的使用者名稱與密碼重新登入。

    工作 1:探索 IAM 控制台和專案層級角色

    1. 回到 Username 1 Cloud 控制台頁面。
    2. 依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」,即可進入「IAM 與管理」控制台。
    3. 點按頁面頂端的「+授予存取權」按鈕。
    4. 在「選取角色」部分,向下捲動到「基本」,並將滑鼠游標停在「基本」上。

    共有三個角色:

    • 編輯者
    • 擁有者
    • 檢視者

    這些是 Google Cloud 的「原始角色」。原始角色設定的是專案層級的權限,除非另外指定,否則這些角色將控管所有 Google Cloud 服務的存取權與管理作業。

    下列表格節錄 Google Cloud IAM 文章中的基本角色定義,該說明文件提供瀏覽者、檢視者、編輯者和擁有者角色權限的概要說明:

    角色名稱

    權限

    角色/檢視者

    不會影響狀態的唯讀操作權限,例如檢視 (但不修改) 現有的資源或資料。

    角色/編輯者

    所有檢視者權限,以及會修改狀態的操作權限 (像是變更現有的資源)。

    角色/擁有者

    所有的編輯者權限及下列操作的權限:

    • 管理專案的角色和權限,以及專案內的所有資源。
    • 設定專案帳單。

    由於您可以管理這個專案的角色和權限,Username 1 即具備專案擁有者權限。

    1. 點按「取消」退出「新增主體」面板。

    探索編輯者角色

    現在切換到 Username 2 控制台。

    1. 依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」,前往「IAM 與管理」控制台。

    2. 在資料表中搜尋 Username 1 和 Username 2,查看使用者獲得的角色。Username 1 和 Username 2 的角色及其使用者列於同一排,在名稱的右邊。

    畫面上會顯示下列訊息:

    • Username 2 已獲得「檢視者」角色。
    • 畫面頂端的「+授予存取權」按鈕顯示為灰色,如果您嘗試點選按鈕,則會顯示訊息:「權限不足,無法執行這項操作。必要權限:resource manager.projects.setIamPolicy」。

    這是其中一個例子,說明 IAM 角色影響您在 Google Cloud 中可以和無法執行的操作。

    1. 接著切換回 Username 1 控制台,進行下一步驟。

    工作 2:準備進行 Cloud Storage bucket 存取測試

    請確認目前位於 Username 1 Cloud 控制台。

    建立 bucket

    1. 建立 Cloud Storage bucket,並給予不重複的名稱。在 Cloud 控制台中,依序選取「導覽選單」>「Cloud Storage」>「值區」

    2. 點選「+建立」

    注意:如果您在建立 bucket 的過程中收到權限錯誤訊息,請先登出,然後使用 Username 1 憑證重新登入。
    1. 更新下列欄位,其他欄位則一概保留預設值:

    屬性

    名稱

    全域不重複名稱 (請自行取名!) 然後點選「繼續」

    位置類型:

    多區域

    請記下 bucket 名稱,您會在稍後的步驟中用到。

    1. 點按「建立」。

    2. 如果出現「系統會禁止公開存取」提示訊息,請點按「確認」。

    注意:如果建立 bucket 時收到權限錯誤訊息,請先登出,然後使用 Username 1 憑證重新登入。

    上傳範例檔案

    1. 在「值區詳細資料」頁面上,點選「上傳檔案」

    2. 在電腦上瀏覽想要使用的檔案,任何文字檔或 html 檔案都可以。

    3. 找到含有檔案的行列,點選末尾的三點圖示,然後按一下「重新命名」

    4. 將檔案重新命名為「sample.txt」。

    5. 點選「重新命名」

    點選「Check my progress」,確認目標已達成。

    建立 bucket 並上傳範例檔案

    驗證專案檢視者權限

    1. 切換到 Username 2 控制台。

    2. 在控制台中,依序選取「導覽選單」>「Cloud Storage」>「值區」。檢查該使用者是否能看到 bucket。

    Username 2 具備前述的「檢視者」角色,因此可以執行不影響狀態的唯讀操作。本範例說明了這項特色:使用者獲得相關存取權,可以查看託管於 Google Cloud 專案中的 Cloud Storage bucket 與檔案。

    工作 3:移除專案存取權

    切換到 Username 1 控制台。

    移除 Username 2 的專案檢視者權限

    1. 依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」,然後點選與 Username 2 同一列,位於其右方的「鉛筆」圖示。
    注意:您可能需要拉寬畫面才能看到「鉛筆」圖示。
    1. 點選角色名稱旁的「垃圾桶」圖示,即可移除 Username 2 的專案檢視者權限。完成後再點選「儲存」

    此時您會發現,該使用者已從成員清單中消失,沒有存取權了!

    注意:您執行的變更最多可能需要 80 秒才會套用生效。您可以在 Google Cloud IAM 說明文件資源的常見問題中,進一步瞭解 Google Cloud IAM。

    確認 Username 2 已沒有存取權

    1. 切換到 Username 2 Cloud 控制台。確認您仍是使用 Username 2 的憑證登入,且在權限撤銷後沒有登出專案。如果登出的話,請使用正確的憑證重新登入。

    2. 依序選取「導覽選單」>「Cloud Storage」>「值區」,回到 Cloud Storage 中。

    您應該會看到權限錯誤訊息。

    注意:如前所述,撤銷權限的操作最多可能需要 80 秒才會生效。如果您沒有看到權限錯誤訊息,請稍候 2 分鐘,然後重新整理控制台。

    點選「Check my progress」,確認目標已達成。

    移除專案存取權

    工作 4:新增 Cloud Storage 權限

    1. 複製「Lab Connection」面板中的 Username 2 名稱

    2. 切換到 Username 1 控制台。確認您仍是使用 Username 1 的憑證登入。如果登出的話,請使用正確的憑證重新登入。

    3. 在控制台中,依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」

    4. 按一下「+授予存取權」按鈕,並將 Username 2 名稱貼到「新增主體」欄位。

    5. 在「請選擇角色」欄位中,從下拉式選單中依序選取「Cloud Storage」>「Storage 物件檢視者」

    6. 點選「儲存」

    驗證存取權

    1. 切換到 Username 2 控制台。您仍然在 Storage 頁面中。

    Username 2 沒有專案檢視者的角色,因此在控制台中看不到專案或其資源,但有 Cloud Storage 的特定存取權,也就是 Storage 物件檢視者角色,現在可前往查看。

    1. 點選「啟用 Cloud Shell」啟用 Cloud Shell 的圖示,開啟 Cloud Shell 指令列。如果出現提示訊息,請點選「繼續」

    2. 開啟 Cloud Shell 工作階段,然後輸入下列指令,用您先前建立的 bucket 名稱取代 [YOUR_BUCKET_NAME]

    gsutil ls gs://[YOUR_BUCKET_NAME]

    您應該會收到類似下列的輸出內容:

    gs://[YOUR_BUCKET_NAME]/sample.txt 注意:如果您看到 AccessDeniedException,請等待一分鐘,然後再次執行上述指令。
    1. 可以看到您把 Cloud Storage bucket 的檢視權限授予 Username 2

    點選「Check my progress」,確認目標已達成。

    新增 Cloud Storage 權限

    恭喜!

    在這個實驗室中,您練習了如何授予及撤銷使用者的 Cloud IAM 角色。

    後續步驟/瞭解詳情

    這個實驗室也是一系列稱為 Qwik Start 的實驗室之一,這些實驗室旨在讓您簡單瞭解 Google Cloud 提供的眾多功能。在 Google Cloud Skills Boost 目錄中搜尋「Qwik Start」,找到您想進行的下一個實驗室!

    Google Cloud 教育訓練與認證

    協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

    使用手冊上次更新日期:2024 年 4 月 15 日

    實驗室上次測試日期:2024 年 4 月 8 日

    Copyright 2024 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。

    此内容目前不可用

    一旦可用,我们会通过电子邮件告知您

    太好了!

    一旦可用,我们会通过电子邮件告知您