Before you begin
- Labs create a Google Cloud project and resources for a fixed time
- Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
- On the top left of your screen, click Start lab to begin
检查点
Create a bucket and upload a sample file
/ 20
Remove project access
/ 40
Add Storage permissions
/ 40
Quick tip: Review the prerequisites before you run the lab
Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the student account, which may cause extra charges incurred to your personal account.
欢迎加入我们的社区,一起测试和分享您的知识!
Cloud IAM:Qwik Start
实验说明和任务
欢迎加入我们的社区,一起测试和分享您的知识!
GSP064
總覽
Google Cloud 的 Identity and Access Management (IAM) 服務可用來建立及管理 Google Cloud 資源的權限。Cloud IAM 將 Google Cloud 服務的存取控管整合至單一系統,提供一致的作業組合體驗。
在這個實驗室中,您將使用 2 組不同的憑證登入,透過 Google Cloud「專案擁有者」和「檢視者」角色,體驗授予和撤銷權限的控管機制。
課程內容
- 將角色指派給第二位使用者
- 移除與 Cloud IAM 相關的指派角色
先備知識
這是入門等級的實驗室,您不需要具備 Cloud IAM 的知識。熟悉 Cloud Storage 有助於完成本實驗室任務,但並非必須。請務必備妥 .txt 或 .html 格式的檔案。如想體驗更進階的 Cloud IAM 實作練習,請參考下列 Google Cloud Skills Boost 實驗室:IAM 自訂角色。
準備完成後,即可向下捲動頁面,按照步驟設定實驗室環境。
設定和需求
如前所述,這個實驗室會提供兩組憑證,用來說明 IAM 政策及特定角色擁有的權限。
在實驗室左側的「Lab Connection」面板上,您會看到像這樣的一串憑證:
請注意,一共有「兩組」使用者名稱:Username 1 和 Username 2。這些名稱代表使用者在 Cloud IAM 中的身分,分別有不同的存取權限。這些「角色」限定了您在分派到的專案中,可以或不能對 Google Cloud 資源進行的操作。
以第一位使用者的身分登入 Cloud 控制台
- 點選「Open Google Console」按鈕,系統會開啟新瀏覽器分頁。如果系統要求您選擇帳戶,請點選「Use another account」。
- Google Cloud 登入頁面會隨即開啟。登入頁面開啟後,複製 Username 1 憑證 (憑證看起來會像
googlexxxxxx_student@qwiklabs.net這樣的格式),貼到「Email or phone」欄位,然後點選「Next」。 - 複製「Lab Connection」面板中的密碼,然後貼到「Google Sign in password」欄位。
- 點選「Next」,然後按「Accept」接受服務條款。Cloud 控制台會隨即開啟,閱讀服務條款,然後點選「同意並繼續」。
以第二位使用者的身分登入 Cloud 控制台
- 再次點選「Open Google Console」按鈕,系統會開啟新瀏覽器分頁。如果系統要求您選擇帳戶,請點選「Use another account」。
- Google Cloud 登入頁面會隨即開啟。複製 Username 2 憑證 (憑證看起來會像
googlexxxxxx_student@qwiklabs.net這樣的格式),貼到「Email or phone」欄位,然後點選「Next」。 - 複製「Lab Connection」面板中的密碼,然後貼到「Google Sign in password」欄位。
- 點選「Next」,然後按「Accept」接受服務條款。Cloud 控制台會隨即開啟,閱讀服務條款,然後點選「同意並繼續」。
瀏覽器現在應該會有兩個開啟中的 Cloud 控制台分頁,一個登入身分是 Username 1,另一個則是 Username 2。
在瀏覽器分頁中查看或重設使用者
有時候瀏覽器分頁中的使用者會遭到覆寫,或者您有可能不清楚是哪位使用者登入哪個瀏覽器分頁。
如要查看登入瀏覽器分頁的使用者身分,請將滑鼠游標懸停在顯示圖片上,即可查看登入該瀏覽器分頁的使用者名稱。
重設登入瀏覽器分頁的使用者:
- 點選顯示圖片和「Sign out」完成登出操作。
- 在「Lab Connection」面板中點按「Open Google Console」,然後以適用的使用者名稱與密碼重新登入。
工作 1:探索 IAM 控制台和專案層級角色
- 回到 Username 1 Cloud 控制台頁面。
- 依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」,即可進入「IAM 與管理」控制台。
- 點按頁面頂端的「+授予存取權」按鈕。
- 在「選取角色」部分,向下捲動到「基本」,並將滑鼠游標停在「基本」上。
共有三個角色:
- 編輯者
- 擁有者
- 檢視者
這些是 Google Cloud 的「原始角色」。原始角色設定的是專案層級的權限,除非另外指定,否則這些角色將控管所有 Google Cloud 服務的存取權與管理作業。
下列表格節錄 Google Cloud IAM 文章中的基本角色定義,該說明文件提供瀏覽者、檢視者、編輯者和擁有者角色權限的概要說明:
|
角色名稱 |
權限 |
|
角色/檢視者 |
不會影響狀態的唯讀操作權限,例如檢視 (但不修改) 現有的資源或資料。 |
|
角色/編輯者 |
所有檢視者權限,以及會修改狀態的操作權限 (像是變更現有的資源)。 |
|
角色/擁有者 |
所有的編輯者權限及下列操作的權限:
|
由於您可以管理這個專案的角色和權限,Username 1 即具備專案擁有者權限。
- 點按「取消」退出「新增主體」面板。
探索編輯者角色
現在切換到 Username 2 控制台。
-
依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」,前往「IAM 與管理」控制台。
-
在資料表中搜尋 Username 1 和 Username 2,查看使用者獲得的角色。Username 1 和 Username 2 的角色及其使用者列於同一排,在名稱的右邊。
畫面上會顯示下列訊息:
- Username 2 已獲得「檢視者」角色。
- 畫面頂端的「+授予存取權」按鈕顯示為灰色,如果您嘗試點選按鈕,則會顯示訊息:「權限不足,無法執行這項操作。必要權限:resource manager.projects.setIamPolicy」。
這是其中一個例子,說明 IAM 角色影響您在 Google Cloud 中可以和無法執行的操作。
- 接著切換回 Username 1 控制台,進行下一步驟。
工作 2:準備進行 Cloud Storage bucket 存取測試
請確認目前位於 Username 1 Cloud 控制台。
建立 bucket
-
建立 Cloud Storage bucket,並給予不重複的名稱。在 Cloud 控制台中,依序選取「導覽選單」>「Cloud Storage」>「值區」。
-
點選「+建立」。
- 更新下列欄位,其他欄位則一概保留預設值:
|
屬性 |
值 |
|
名稱: |
全域不重複名稱 (請自行取名!) 然後點選「繼續」。 |
|
位置類型: |
多區域 |
請記下 bucket 名稱,您會在稍後的步驟中用到。
-
點按「建立」。
-
如果出現「系統會禁止公開存取」提示訊息,請點按「確認」。
上傳範例檔案
-
在「值區詳細資料」頁面上,點選「上傳檔案」。
-
在電腦上瀏覽想要使用的檔案,任何文字檔或 html 檔案都可以。
-
找到含有檔案的行列,點選末尾的三點圖示,然後按一下「重新命名」。
-
將檔案重新命名為「
sample.txt」。 -
點選「重新命名」。
點選「Check my progress」,確認目標已達成。
驗證專案檢視者權限
-
切換到 Username 2 控制台。
-
在控制台中,依序選取「導覽選單」>「Cloud Storage」>「值區」。檢查該使用者是否能看到 bucket。
Username 2 具備前述的「檢視者」角色,因此可以執行不影響狀態的唯讀操作。本範例說明了這項特色:使用者獲得相關存取權,可以查看託管於 Google Cloud 專案中的 Cloud Storage bucket 與檔案。
工作 3:移除專案存取權
切換到 Username 1 控制台。
移除 Username 2 的專案檢視者權限
- 依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」,然後點選與 Username 2 同一列,位於其右方的「鉛筆」圖示。
- 點選角色名稱旁的「垃圾桶」圖示,即可移除 Username 2 的專案檢視者權限。完成後再點選「儲存」。
此時您會發現,該使用者已從成員清單中消失,沒有存取權了!
確認 Username 2 已沒有存取權
-
切換到 Username 2 Cloud 控制台。確認您仍是使用 Username 2 的憑證登入,且在權限撤銷後沒有登出專案。如果登出的話,請使用正確的憑證重新登入。
-
依序選取「導覽選單」>「Cloud Storage」>「值區」,回到 Cloud Storage 中。
您應該會看到權限錯誤訊息。
點選「Check my progress」,確認目標已達成。
工作 4:新增 Cloud Storage 權限
-
複製「Lab Connection」面板中的 Username 2 名稱。
-
切換到 Username 1 控制台。確認您仍是使用 Username 1 的憑證登入。如果登出的話,請使用正確的憑證重新登入。
-
在控制台中,依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」。
-
按一下「+授予存取權」按鈕,並將 Username 2 名稱貼到「新增主體」欄位。
-
在「請選擇角色」欄位中,從下拉式選單中依序選取「Cloud Storage」>「Storage 物件檢視者」。
-
點選「儲存」。
驗證存取權
- 切換到 Username 2 控制台。您仍然在 Storage 頁面中。
Username 2 沒有專案檢視者的角色,因此在控制台中看不到專案或其資源,但有 Cloud Storage 的特定存取權,也就是 Storage 物件檢視者角色,現在可前往查看。
-
點選「啟用 Cloud Shell」
,開啟 Cloud Shell 指令列。如果出現提示訊息,請點選「繼續」。
-
開啟 Cloud Shell 工作階段,然後輸入下列指令,用您先前建立的 bucket 名稱取代
[YOUR_BUCKET_NAME]:
您應該會收到類似下列的輸出內容:
AccessDeniedException,請等待一分鐘,然後再次執行上述指令。- 可以看到您把 Cloud Storage bucket 的檢視權限授予 Username 2。
點選「Check my progress」,確認目標已達成。
恭喜!
在這個實驗室中,您練習了如何授予及撤銷使用者的 Cloud IAM 角色。
後續步驟/瞭解詳情
這個實驗室也是一系列稱為 Qwik Start 的實驗室之一,這些實驗室旨在讓您簡單瞭解 Google Cloud 提供的眾多功能。在 Google Cloud Skills Boost 目錄中搜尋「Qwik Start」,找到您想進行的下一個實驗室!
Google Cloud 教育訓練與認證
協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。
使用手冊上次更新日期:2024 年 4 月 15 日
實驗室上次測試日期:2024 年 4 月 8 日
Copyright 2025 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。
