Loading...
No results found.

Apply your skills in Google Cloud console

Lab setup instructions and requirements
Protect your account and progress. Always use a private browser window and lab credentials to run this lab.

服務帳戶與角色:基礎知識

Lab 15 minutes universal_currency_alt 1 Credit show_chart Introductory
info This lab may incorporate AI tools to support your learning.
This content is not yet optimized for mobile devices.
For the best experience, please visit us on a desktop computer using a link sent by email.

GSP199

Google Cloud 自學實驗室

總覽

服務帳戶是種特殊的 Google 帳戶,會將權限授予虛擬機器,而非使用者。這類帳戶主要用於確保 API 與 Google Cloud 服務的連線安全無虞,且受到妥善管理。對信任的連線授予存取權並拒絕惡意連線,是所有 Google Cloud 專案必備的安全防護功能。在本實驗室中,您將實際操作,深入瞭解服務帳戶。

課程內容

本實驗室的內容包括:

  • 建立及管理服務帳戶。
  • 建立虛擬機器並連結至服務帳戶。
  • 使用服務帳戶,透過用戶端程式庫存取 BigQuery。
  • 透過 Compute Engine 執行個體,對 BigQuery 公開資料集執行查詢。

事前準備

建議您累積一些 Cloud IAM 的使用經驗,但就算您幾乎或完全沒有服務帳戶的相關知識,也可以進行本實驗室。如需這個主題更進階的實作練習,可以參考以下實驗室:

設定和需求

瞭解以下事項後,再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時,且中途無法暫停。點選「Start Lab」後就會開始計時,顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動,而不是模擬或示範環境。為此,我們會提供新的暫時憑證,供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室,請先確認:

  • 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。
注意事項:請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室,這可以防止個人帳戶和學員帳戶之間的衝突,避免個人帳戶產生額外費用。
  • 是時候完成實驗室活動了!別忘了,活動一旦開始將無法暫停。
注意事項:務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶,可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

  1. 點選「Start Lab」按鈕。如果實驗室會產生費用,畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目:

    • 「Open Google Cloud console」按鈕
    • 剩餘時間
    • 必須在這個研究室中使用的臨時憑證
    • 完成這個實驗室所需的其他資訊 (如有)

  2. 點選「Open Google Cloud console」;如果使用 Chrome 瀏覽器,也能按一下滑鼠右鍵,選取「在無痕視窗中開啟連結」

    接著,實驗室會啟動相關資源,並開啟另一個分頁,顯示「登入」頁面。

    提示:您可以在不同的視窗中並排開啟分頁。

    注意:如果頁面中顯示「選擇帳戶」對話方塊,請點選「使用其他帳戶」

  3. 如有必要,請將下方的 Username 貼到「登入」對話方塊。

    {{{user_0.username | "Username"}}}

    您也可以在「Lab Details」窗格找到 Username。

  4. 點選「下一步」

  5. 複製下方的 Password,並貼到「歡迎使用」對話方塊。

    {{{user_0.password | "Password"}}}

    您也可以在「Lab Details」窗格找到 Password。

  6. 點選「下一步」

    重要事項:請務必使用實驗室提供的憑證,而非自己的 Google Cloud 帳戶憑證。 注意:如果使用自己的 Google Cloud 帳戶來進行這個實驗室,可能會產生額外費用。

  7. 按過後續的所有頁面:

    • 接受條款及細則。
    • 由於這是臨時帳戶,請勿新增救援選項或雙重驗證機制。
    • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意:如要使用 Google Cloud 產品和服務,請點選「導覽選單」,或在「搜尋」欄位輸入服務或產品名稱。「導覽選單」圖示和搜尋欄位

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器,提供永久的 5 GB 主目錄,而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權,方便您使用 Google Cloud 資源。

  1. 點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示 「啟動 Cloud Shell」圖示

  2. 系統顯示視窗時,請按照下列步驟操作:

    • 繼續操作 Cloud Shell 視窗。
    • 授權 Cloud Shell 使用您的憑證發出 Google Cloud API 呼叫。

連線建立完成即代表已通過驗證,而且專案已設為您的 Project_ID。輸出內容中有一行文字,宣告本工作階段的 Project_ID

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud 是 Google Cloud 的指令列工具,已預先安裝於 Cloud Shell,並支援 Tab 鍵自動完成功能。

  1. (選用) 您可以執行下列指令來列出使用中的帳戶:
gcloud auth list
  1. 點按「授權」

輸出內容:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (選用) 您可以使用下列指令來列出專案 ID:
gcloud config list project

輸出內容:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 注意:如需 gcloud 的完整說明,請前往 Google Cloud 參閱 gcloud CLI 總覽指南

設定專案區域

請執行以下指令來設定專案區域:

gcloud config set compute/region {{{project_0.default_region | Region}}}

什麼是服務帳戶?

服務帳戶是種特殊的 Google 帳戶,屬於您的應用程式或虛擬機器 (VM),而不屬於個別使用者。應用程式會透過此類帳戶呼叫服務的 Google API,因此不會直接牽涉到使用者。

舉例來說,您可以將 Compute Engine VM 做為服務帳戶執行,並授予該帳戶必要資源的存取權。如此一來,服務帳戶即為服務的身分,而服務帳戶的權限控制了服務能存取的資源。

每個服務帳戶都有專屬的電子郵件地址,以利識別。

服務帳戶的類型

使用者管理的服務帳戶

使用 Google Cloud 控制台建立新的 Cloud 專案時,如果專案啟用了 Compute Engine API,系統預設會為您建立 Compute Engine 服務帳戶。該帳戶具備以下電子郵件地址:

PROJECT_NUMBER-compute@developer.gserviceaccount.com

如果專案包含 App Engine 應用程式,系統預設會在專案中建立 App Engine 服務帳戶。該帳戶具備以下電子郵件地址:

PROJECT_ID@appspot.gserviceaccount.com

Google 代管的服務帳戶

除了使用者管理的服務帳戶,專案 IAM 政策或控制台中可能會顯示其他服務帳戶。這些服務帳戶是由 Google 建立及擁有,代表不同的 Google 服務。系統會自動授予各個帳戶 IAM 角色,以存取您的 Google Cloud 專案。

Google API 服務帳戶

舉例來說,具備以下電子郵件地址的 Google API 服務帳戶,即為 Google 代管的服務帳戶:

PROJECT_NUMBER@cloudservices.gserviceaccount.com

這個服務帳戶專門用於代表您執行內部 Google 程序,且不會列在控制台的「服務帳戶」部分。根據預設,該帳戶會自動獲派專案的編輯者角色,並列在控制台的「IAM」部分。專案刪除時,系統才會刪除該服務帳戶。

注意:服務帳戶必須具備您專案的存取權,Google 服務才能運作,因此請勿移除或變更該帳戶在專案中的角色。

瞭解 IAM 角色

當某個身分呼叫 Google Cloud API 時,Google Cloud Identity and Access Management 會要求該身分需具備使用資源的適當權限。您可以指派角色給使用者、群組或服務帳戶,藉此授予權限。

角色類型

Cloud IAM 中有三種角色:

  • 原始角色:在 Cloud IAM 推出前就存在的角色,包括擁有者、編輯者和檢視者。
  • 預先定義的角色:提供精細存取權限給特定服務,且是由 Google Cloud 管理。
  • 自訂角色:根據使用者指定的權限清單,提供精細的存取權限。

如要進一步瞭解角色,請參閱這份指南

工作 1:建立及管理服務帳戶

當您建立新的 Cloud 專案時,Google Cloud 會自動在該專案中,建立一個 Compute Engine 服務帳戶和一個 App Engine 服務帳戶。您最多可為專案另外建立 98 個服務帳戶,以便控管資源存取權。

建立服務帳戶

建立服務帳戶的方法與新增專案成員類似,差別只是服務帳戶隸屬於應用程式,而非個別使用者。

  • 在 Cloud Shell 中執行以下指令,建立服務帳戶:
gcloud iam service-accounts create my-sa-123 --display-name "my service account"

這項指令會輸出服務帳戶,如下所示:

Created service account [my-sa-123]

將角色授予服務帳戶

授予 IAM 角色時,您可將服務帳戶視為資源身分

應用程式會將服務帳戶視為身分,向 Google Cloud 服務進行驗證。舉例來說,如果 Compute Engine 虛擬機器 (VM) 做為服務帳戶執行,即可將專案 (資源) 的編輯者角色授予服務帳戶 (身分)。

另外,您也可以控制哪些使用者能夠啟動 VM,只要將服務帳戶 (資源) 的 serviceAccountUser 角色授予使用者 (身分) 即可。

將特定資源的角色授予服務帳戶

您可以將角色授予服務帳戶,讓服務帳戶有權對 Cloud Platform 專案中的資源完成特定動作。例如,您可以授予服務帳戶 storage.admin 角色,讓該帳戶有權控管 Cloud Storage 中的物件和 bucket。

  • 在 Cloud Shell 中執行以下指令,為剛才建立的服務帳戶授予角色:
gcloud projects add-iam-policy-binding $DEVSHELL_PROJECT_ID \ --member serviceAccount:my-sa-123@$DEVSHELL_PROJECT_ID.iam.gserviceaccount.com --role roles/editor

輸出內容會列出該服務帳戶目前具備的角色:

bindings: - members: - user:email1@gmail.com role: roles/owner - members: - serviceAccount:our-project-123@appspot.gserviceaccount.com - serviceAccount:123456789012-compute@developer.gserviceaccount.com - serviceAccount:my-sa-123@my-project-123.iam.gserviceaccount.com - user:email3@gmail.com role: roles/editor - members: - user:email2@gmail.com role: roles/viewer etag: BwUm38GGAQk= version: 1

點選「Check my progress」,確認目標已達成。 建立及管理服務帳戶

工作 2:使用服務帳戶,透過用戶端程式庫存取 BigQuery

在本節中,您要使用具備必要角色的服務帳戶,透過執行個體查詢 BigQuery 公開資料集。

建立服務帳戶

首先在控制台中建立新的服務帳戶。

  1. 依序前往「導覽選單」>「IAM 與管理」,選取「服務帳戶」,然後點選「+ 建立服務帳戶」。

  2. 填寫必要詳細資訊:

  • 服務帳戶名稱:bigquery-qwiklab

  1. 點選「建立並繼續」,然後新增下列角色:

    • 「BigQuery」>「BigQuery 資料檢視者」

    • 「BigQuery」>「BigQuery 使用者」

這時控制台應顯示類似下方的畫面:

「建立服務帳戶」分頁式頁面

  1. 依序點選「繼續」和「完成」

建立 VM 執行個體

  1. 依序前往「導覽選單」>「Compute Engine」>「VM 執行個體」,然後點選「建立執行個體」

  2. 前往「機器設定」部分:

    設定下列項目的值:

    設定
    名稱 bigquery-instance
    區域
    可用區
    系列 E2
    機型 e2-medium

  3. 點選「OS 和儲存空間」

    如果尚未設定開機磁碟,請點選「變更」並選取

    • 開機磁碟Debian GNU/Linux 12 (bookworm)

    按一下「選取」

  4. 點選「安全性」

    設定下列項目的值:

    設定
    服務帳戶 bigquery-qwiklab
    存取權範圍 分別設定每個 API 的存取權
    BigQuery 已啟用
注意:如果下拉式選單未顯示「bigquery-qwiklab」服務帳戶,請在「篩選器」部分輸入該名稱。
  1. 按一下「建立」

將範例程式碼置於 Compute Engine 執行個體

  1. 現在,「VM 執行個體」下方應會顯示 bigquery-instance
  2. 點選「SSH」按鈕,使用 SSH 連線至 bigquery-instance
注意:透過 SSH 連線時,可以點選「不使用 Identity-Aware Proxy 連線」
  1. 執行下列指令,安裝 Python 並建立虛擬環境: sudo apt install python3 python3-pip python3.11-venv -y python3 -m venv myvenv source myvenv/bin/activate

在 SSH 視窗中,執行以下指令來安裝必要依附元件:

sudo apt-get update sudo apt-get install -y git python3-pip pip3 install --upgrade pip pip3 install google-cloud-bigquery pip3 install pyarrow pip3 install pandas pip3 install db-dtypes

接著建立範例 Python 檔案:

echo " from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='YOUR_SERVICE_ACCOUNT') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project='{{{project_0.project_id | Your Project ID}}}', credentials=credentials) print(client.query(query).to_dataframe()) " > query.py

使用以下指令,在 query.py 中加入專案 ID:

sed -i -e "s/{{{project_0.project_id | Your Project ID}}}/$(gcloud config get-value project)/g" query.py

執行以下指令,確保 sed 指令已變更檔案中的專案 ID:

cat query.py

輸出內容範例 (可能與您的輸出內容不同):

from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='YOUR_SERVICE_ACCOUNT') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project={{{ project_0.project_id }}}, credentials=credentials) print(client.query(query).to_dataframe())

執行以下指令,將服務帳戶電子郵件地址新增至 query.py

sed -i -e "s/YOUR_SERVICE_ACCOUNT/bigquery-qwiklab@$(gcloud config get-value project).iam.gserviceaccount.com/g" query.py

執行以下指令,確保 sed 指令已變更檔案中的服務帳戶電子郵件地址:

cat query.py

輸出內容範例 (可能與您的輸出內容不同):

from google.auth import compute_engine from google.cloud import bigquery credentials = compute_engine.Credentials( service_account_email='bigquery-qwiklab@{{{ project_0.project_id }}}.iam.gserviceaccount.com') query = ''' SELECT year, COUNT(1) as num_babies FROM publicdata.samples.natality WHERE year > 2000 GROUP BY year ''' client = bigquery.Client( project={{{ project_0.project_id }}}, credentials=credentials) print(client.query(query).to_dataframe())

應用程式現在可使用該服務帳戶具備的權限了。 請使用以下 Python 指令執行查詢:

python3 query.py

查詢應會傳回以下輸出內容 (可能與您收到的數字不同):

Row year num_babies 0 2008 4255156 1 2006 4273225 2 2003 4096092 3 2004 4118907 4 2002 4027376 5 2005 4145619 6 2001 4031531 7 2007 4324008 注意:您的資料列值可能不會與上方輸出內容中的年份相對應。不過,請確認每年的新生兒人數與上方輸出內容相同。

做得好!您已使用 bigquery-qwiklab 服務帳戶,向 BigQuery 公開資料集發送要求。

點選「Check my progress」,確認目標已達成。 使用服務帳戶存取 BigQuery

恭喜!

在本實驗室中,您已瞭解如何使用服務帳戶。

後續步驟/瞭解詳情

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期:2026 年 2 月 10 日

實驗室上次測試日期:2026 年 2 月 10 日

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

Use private browsing

  1. Copy the provided Username and Password for the lab
  2. Click Open console in private mode

Sign in to the Console

  1. Sign in using your lab credentials. Using other credentials might cause errors or incur charges.
  2. Accept the terms, and skip the recovery resource page
  3. Don't click End lab unless you've finished the lab or want to restart it, as it will clear your work and remove the project

This content is not currently available

We will notify you via email when it becomes available

Great!

We will contact you via email if it becomes available

One lab at a time

Confirm to end all existing labs and start this one

Use private browsing to run the lab

Using an Incognito or private browser window is the best way to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.