正在加载…
未找到任何结果。

在 Google Cloud 控制台中运用您的技能

实验设置说明和要求
保护您的账号和进度。请务必在无痕浏览器窗口中,使用实验凭证运行此实验。

在 Google Cloud IAM 中创建角色

实验 1 小时 30 分钟 universal_currency_alt 5 个点数 show_chart 入门级
info 此实验可能会提供 AI 工具来支持您学习。
此内容尚未针对移动设备进行优化。
为获得最佳体验,请在桌面设备上访问通过电子邮件发送的链接。
重要图标 重要提示

桌面设备/笔记本电脑图标请务必仅在桌面设备/笔记本电脑上完成此实操实验。

勾选图标 每个实验仅允许尝试 5 次。

测验目标图标温馨提示:第一次尝试时,您可能无法答对所有问题,甚至可能需要重做任务,请不必担心,这都是学习过程的一部分。

计时器图标 实验一旦开始,计时器就无法暂停。1 小时 30 分钟后,实验将结束,您需要重新开始。

提示图标 如需了解详情,请阅读实验技术提示

活动概览

IAM,即 Identity and Access Management,包括一系列流程与技术,旨在帮助组织管理其环境中的数字身份。借助 IAM,您可通过定义用户身份及其在可用资源中的角色来实施访问权限控制。资源访问权限不会直接授予具体用户。相反,用户会被分配到角色,然后这些角色再被授予经过身份验证的主账号。虽然过去使用“成员”一词,但 IAM 现在将这些用户统一称为“主账号”,尽管部分 API 仍沿用旧术语。Google Cloud 中有三类 IAM 角色:

  • 基本角色:Google Cloud 控制台之前提供的角色。这些角色包括 Owner、Editor 和 Viewer。

  • 预定义角色:可提供比基本角色更精细的访问权限控制的角色。例如,预定义角色 Pub/Sub Publisher (roles/pubsub.publisher) 仅提供将消息发布到 Cloud Pub/Sub 主题的访问权限。

  • 自定义角色:当预定义角色无法满足需求时,您可以根据组织的具体要求创建自定义角色,以灵活配置访问权限。

在本实验中,您将学习如何创建和管理 Identity and Access Management (IAM) 自定义角色。

场景

作为迁移计划的一部分,Cymbal Bank 正在逐步将其工作流部署到云端。其中一项部署涉及一个用于存储客户账单和发票等敏感数据的数据库。在部署之前,该数据库需要经过全面的第三方审核。审核人员需要访问该数据库才能完成审核。因此,他们需要被授予执行任务所需的相应权限。团队负责人 Chloe 委托您使用 IAM,为审核团队实现对该数据库的访问权限控制。

IAM 是云安全的重要组成部分,并将在本次任务中将发挥关键作用。审核团队成员需被授予访问权限受限的指定角色,其权限仅限于查看和列出数据库内容。按照团队负责人的要求,您的任务是精准配置用户访问权限,以满足上述严格要求。

以下是任务的具体步骤:首先,您将创建一个角色并分配所需权限。接下来,将新创建的角色分配给用户。最后,验证该角色是否已成功授予。

设置

点击“开始实验”之前

请阅读以下说明。实验是计时的,并且您无法暂停实验。计时器在您点击开始实验后即开始计时,显示 Google Cloud 资源可供您使用多长时间。

此实操实验可让您在真实的云环境中开展活动,免受模拟或演示环境的限制。为此,我们会向您提供新的临时凭据,您可以在该实验的规定时间内通过此凭据登录和访问 Google Cloud。

为完成此实验,您需要:

  • 能够使用标准的互联网浏览器(建议使用 Chrome 浏览器)。
注意:请使用无痕模式或无痕浏览器窗口运行此实验。这可以避免您的个人账号与学生账号之间发生冲突,这种冲突可能导致您的个人账号产生额外费用。
  • 完成实验的时间 - 请注意,实验开始后无法暂停。
注意:如果您已有自己的个人 Google Cloud 账号或项目,请不要在此实验中使用,以避免您的账号产生额外的费用。

如何开始实验并登录 Google Cloud 控制台

  1. 点击开始实验按钮。左侧是实验详细信息面板,其中包含以下各项:

    • 剩余时间
    • 打开 Google Cloud 控制台按钮
    • 进行该实验时必须使用的临时凭证
    • 帮助您逐步完成本实验所需的其他信息(如果需要)
    注意:如果该实验需要付费,系统会打开一个弹出式窗口供您选择支付方式。

  2. 如果您使用的是 Chrome 浏览器,点击打开 Google Cloud 控制台(或右键点击并选择在无痕式窗口中打开链接)。系统会在新的浏览器标签页中打开登录页面。

    提示:您可以将这些标签页分别放在不同的窗口中,并排显示,以便轻松切换。

    注意:如果您看到选择账号对话框,请点击使用其他账号

  3. 如有必要,请复制下方的 Google Cloud 用户名,然后将其粘贴到登录对话框中。点击下一步

{{{user_0.username | "Google Cloud 用户名 1"}}}

您也可以在实验详细信息面板中找到 Google Cloud 用户名

  1. 复制下面的 Google Cloud 密码,然后将其粘贴到欢迎对话框中。点击下一步
{{{user_0.password | "Google Cloud password"}}}

您也可以在实验详细信息面板中找到 Google Cloud 密码

重要提示:您必须使用左侧面板中的凭证。请勿使用您的 Google Cloud 账号凭证。 注意:在本实验中使用您自己的 Google Cloud 账号可能会产生额外费用。
  1. 依次点击后续页面,完成以下步骤:
    • 接受条款及条件
    • 由于这是临时账号,请勿添加账号恢复选项或双重验证
    • 请勿用其注册免费试用服务

片刻之后,系统会在此标签页中打开 Google Cloud 控制台。

注意:您可以点击左上角的导航菜单来查看列有 Google Cloud 产品和服务的菜单。Google Cloud 控制台菜单,其中突出显示了导航菜单图标

任务 1.创建自定义角色

应用最小权限原则是 IAM 的核心理念。这可确保用户仅被授予执行任务所需的权限。自定义角色使组织能够根据实际需求灵活配置权限,避免用户访问权限过广、过多。

在本任务中,您将为 Cymbal Bank 的审核团队创建一个自定义角色。然后,您将为该自定义角色授予受限访问权限,仅限查看数据库内容。

  1. 在 Google Cloud 控制台的导航菜单 (“导航菜单”图标) 中,依次点击 IAM 和管理 > 角色。系统随即会打开角色页面。

  2. 角色页面顶部的 Explorer 栏中,点击 + 创建角色

  3. 创建角色对话框中,填写以下设置,其余设置保留默认值:

属性 值(输入或选择)
标题 审核团队审核员
描述 自定义角色,允许审核团队开展审核活动。该角色仅授予对 Firebase 数据库资源的只读访问权限。
ID CustomRole
角色发布阶段 正式发布

每个自定义角色都可以指定一个角色发布阶段,以反映该角色在开发、测试和部署过程中所处的不同阶段。这些阶段有助于用户了解角色的当前状态,以及它在各类应用场景中的适用性。

Google Cloud 中设有多个发布阶段。以下是您应该了解的三种主要角色发布阶段:

Alpha:处于 Alpha 阶段的角色通常具有实验性质,可能会发生较大变更。不建议在生产环境中使用。用户可以对处于 Alpha 阶段的角色提供反馈,从而影响其后续开发。

Beta:处于 Beta 阶段的角色相较于 Alpha 阶段更加成熟,但仍可能根据用户反馈进行更新和优化。适用于部分非生产场景,但尚未完全稳定。

正式发布 (GA):已达到正式发布阶段的角色经过了全面的开发、测试和完善。这类角色被认为是稳定且可靠的,适合在生产环境中广泛使用。GA 阶段的角色已经过充分审核,旨在提供一致且可靠的行为。

  1. 点击 + 添加权限。系统随即会打开添加权限对话框。

  2. 按角色过滤权限字段中,输入 Firebase Realtime

  3. 在结果下拉框中,勾选 Firebase Realtime Database Viewer 复选框。

  4. 点击确定

  5. 过滤条件下,勾选 firebase.clients.listfirebasedatabase.instances.list 复选框,从而为自定义角色添加这些权限。

在Google Cloud IAM的“添加权限”对话框中为 Firebase Realtime Database Viewer 角色筛选并添加 firebase.clients.list 和 firebasedatabase.instances.list 访问权限

  1. 点击添加

  2. 创建角色对话框中,点击创建

此时,新角色应已成功创建并添加至项目现有角色列表。

点击检查我的进度,验证您是否正确完成了本任务。 创建自定义角色

任务 2.向用户授予角色

在本任务中,您将把任务 1 中创建的自定义角色分配给一位现有用户。

注意:在本实验中,您需要将新角色授予实验详细信息面板中提供的 Google Cloud 用户名 2

  1. 在 Google Cloud 控制台的导航菜单 (“导航菜单”图标) 中,依次点击 IAM 和管理 > IAM。系统随即会打开 IAM 页面。

  2. 按主账号查看标签页中,点击授予访问权限。系统随即会打开授予访问权限对话框。

授予访问权限对话框是 Google Cloud IAM 系统中的重要组成部分。它可以帮助您精确地为用户、群组和服务账号定义和管理访问权限。

  1. 复制 Google Cloud 用户名 2:,并粘贴到新的主账号字段中。

Google Cloud IAM“授予访问权限”窗口展示了将用户添加到项目的设置

  1. 展开选择角色下拉菜单,选择自定义,然后选择 Audit Team Reviewer。这是您在上一个任务中创建的角色。

Google Cloud IAM“授予访问权限”窗口中的设置界面展示了向用户授予 Audit Team Reviewer 角色

  1. 点击保存

现在,系统应已成功将该自定义角色分配给该用户。

点击检查我的进度,验证您是否正确完成了本任务。 向用户授予角色

任务 3.验证角色

到目前为止,您已经创建了一个具备适当权限的自定义角色,并将该角色分配给了用户。现在,您需要检查您的工作,验证该用户是否已被授予您创建的角色。确保设置正确无误是云安全分析师工作流程中不可或缺的一部分。

在本任务中,您将使用 Google Cloud 的 Policy Analyzer 创建查询,以检查您分配给用户的角色。

  1. 在 Google Cloud 控制台的导航菜单 (“导航菜单”图标) 中,依次点击 IAM 和管理 > Policy Analyzer。系统会随即打开 Policy Analyzer 页面。

  2. 分析政策部分,点击自定义查询图块上的创建自定义查询。Google Cloud 菜单 (“导航菜单”图标) 左上角可能会出现一个弹出式窗口,显示“您可以随时点击菜单,查找适合您的业务解决方案”。选择知道了,继续下一步。

  3. 设置查询参数部分,展开参数 1 下拉菜单,选择主账号

  4. 复制 Google Cloud 用户名 2:,并粘贴到主账号字段中。

Google Cloud IAM 的 Policy Analyzer 窗口展示了为用户设置查询参数的自定义查询设置

  1. 点击继续

  2. 查询结果的高级选项部分,勾选列出与查询匹配的资源内的资源复选框。

  3. 点击分析,然后在下拉菜单中选择运行查询

系统应返回已分配给用户的角色结果。请根据结果回答以下问题。

总结

太棒了!您已成功使用 IAM 创建自定义角色,基于该角色向用户授予访问权限,并验证了其在 Google Cloud 中的访问权限。Cymbal Bank 的审核团队现在可以使用您创建的自定义角色对数据库进行审核。

IAM 根据用户的角色定义其可访问的资源。它对于管理组织环境中的数字身份至关重要,并将成为您作为云安全分析师工作中不可或缺的一部分。

通过使用 IAM 服务,您将能够有效管理存储资源的访问权限。

结束实验

结束实验之前,请确保您已完成所有任务。准备就绪后,点击结束实验,然后点击提交

结束实验后,您将无法再访问实验环境,也无法再访问您在其中完成的工作成果。

版权所有 2026 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名称和产品名称可能是其各自相关公司的商标。

准备工作

  1. 实验会创建一个 Google Cloud 项目和一些资源,供您使用限定的一段时间
  2. 实验有时间限制,并且没有暂停功能。如果您中途结束实验,则必须重新开始。
  3. 在屏幕左上角,点击开始实验即可开始

使用无痕浏览模式

  1. 复制系统为实验提供的用户名密码
  2. 在无痕浏览模式下,点击打开控制台

登录控制台

  1. 使用您的实验凭证登录。使用其他凭证可能会导致错误或产生费用。
  2. 接受条款,并跳过恢复资源页面
  3. 除非您已完成此实验或想要重新开始,否则请勿点击结束实验,因为点击后系统会清除您的工作并移除该项目

此内容目前不可用

一旦可用,我们会通过电子邮件告知您

太好了!

一旦可用,我们会通过电子邮件告知您

一次一个实验

确认结束所有现有实验并开始此实验

使用无痕浏览模式运行实验

使用无痕模式或无痕浏览器窗口是运行此实验的最佳方式。这可以避免您的个人账号与学生账号之间发生冲突,这种冲突可能导致您的个人账号产生额外费用。