重要提醒：

請務必使用桌機/筆電完成這個實作實驗室。

每個實驗室都只有 5 次嘗試機會。

提醒：第一次嘗試時，不一定能全部答對，甚至可能需要重做，這是正常的過程。

實驗室活動開始後，計時器無法暫停。實驗室會在 1 小時 30 分鐘後結束，如果您沒做完，就必須重新開始。

您可查看實驗室技術提示瞭解詳情。

活動總覽

IAM (Identity and Access Management) 是一系列程序和技術，可協助組織管理環境中的數位身分。IAM 會定義使用者的身分及在可用資源方面的角色，藉此控管存取權。資源存取權限不會直接授予個別使用者，而是為使用者指派角色，再將角色授予經過驗證的主體。過去使用「成員」一詞，但 IAM 現在將這些人稱為「主體」，部分 API 仍沿用先前的術語。Google Cloud 中有三種 IAM 角色：

• 基本角色：Google Cloud 控制台中原本就有的角色，包括擁有者、編輯者和檢視者。

• 預先定義角色：這個角色的存取控管層級比基本角色更精細。例如，預先定義的 Pub/Sub 發布者 (roles/pubsub.publisher) 角色僅有發布 Cloud Pub/Sub 主題相關訊息的權限。

• 自訂角色：您自行建立的角色。預先定義的角色不符合需求時，您可以自訂角色來設定必要權限。

在本實驗室中，您將瞭解如何建立及管理 Identity and Access Management (IAM) 自訂角色。

情境

Cymbal Bank 正在執行遷移計畫，逐步將工作流程部署至雲端。其中一個部署作業包含儲存客戶報帳和收據等機密資料的資料庫。在部署這個資料庫前，必須先通過第三方全面稽核。稽核人員需要存取這個資料庫，取得適當權限，才能完成工作。您的主管 Chloe 要求您使用 IAM 為稽核團隊實作資料庫的存取控管機制。

IAM 是雲端安全性的基本要素，在這個工作中會是重要環節。稽核團隊成員需要具備指定角色，存取權受到限制，只能查看及列出資料庫內容。您的主管請您根據這些嚴格規定，精確設定使用者的存取權。

這項工作分為以下步驟：首先，建立角色並指派必要權限。接著，您要將建立的新角色指派給使用者。最後，您將確認已將權限授予所建立的角色。

設定

點選「Start Lab」之前

請詳閱下列操作說明。實驗室活動會計時，中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您會在實際雲端環境完成實驗室活動，而非模擬或示範環境。因此，我們會提供新的臨時憑證，讓您在實驗室活動期間登入及存取 Google Cloud。

如要順利完成這個實驗室活動，請先確認：

• 可以使用標準的網路瀏覽器 (Chrome 瀏覽器為佳)。

注意：請使用無痕模式或私密瀏覽視窗執行此實驗室，防止個人帳戶和學生帳戶之間的衝突，避免個人帳戶產生額外費用。

• 該來完成實驗室活動了！別忘了，活動開始後就無法暫停。

注意：如有個人 Google Cloud 帳戶或專案，請勿用於本實驗室，以免產生額外費用。

如何開始實驗室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。左側的「Lab Details」面板會顯示下列項目：

   • 剩餘時間
   • 「Open Google Cloud console」按鈕
   • 這個實驗室中應使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)
   注意：如果實驗室會產生費用，畫面中會出現選擇付款方式的彈出式視窗。

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也可以按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。實驗室的「登入」頁面會在新的瀏覽器分頁開啟。

   提示：將分頁安排在不同的視窗並排顯示，方便切換。

   注意：如果顯示「選擇帳戶」對話方塊，請點選「選擇其他帳戶」。

3. 如有需要，請複製下方的 Google Cloud 使用者名稱 1，然後貼到「登入」對話方塊。點選「下一步」。

{{{user_0.username | "Google Cloud username 1"}}}

您也可以在「Lab Details」面板找到 Google Cloud 使用者名稱 1。

4. 複製下方的 Google Cloud 密碼，並貼到「歡迎使用」對話方塊。點選「下一步」。

{{{user_0.password | "Google Cloud password"}}}

在「Lab Details」面板也可以找到 Google Cloud 密碼。

重要事項：請務必使用左側面板中的憑證，別用自己的 Google Cloud 憑證。 注意：使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

5. 繼續點選後續頁面：
   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Cloud 控制台稍後會在這個分頁中開啟。

注意：點選畫面左上方的導覽選單，可查看 Google Cloud 產品與服務清單。

工作 1：建立自訂角色

實施最小權限原則是 IAM 的重要環節，能確保使用者只獲得執行工作所需的權限。自訂角色可讓組織依需求調整權限，也確保使用者不會擁有太多不必要的權限。

在這項工作中，您將為 Cymbal 的稽核團隊建立自訂角色，接著授予自訂角色受限的存取權，讓他們只能查看資料庫內容。

1. 前往 Google Cloud 控制台，依序點選「導覽選單」圖示 >「IAM 與管理」>「角色」，角色頁面就會開啟。

2. 在「角色」頁面頂端的「Explorer」列中，點選「+ 建立角色」。

3. 在「建立角色」對話方塊中，指定下列設定，其餘設定則保留預設值：

屬性	Value (type or select)
標題	Audit Team Reviewer
說明	Custom role, allowing the audit team to conduct its review activities.This role grants read-only access to Firebase database resources.
ID	CustomRole
角色推出階段	General Availability

每個自訂角色都能設定角色推出階段，反映角色開發、測試和部署的階段，協助使用者瞭解角色的現況，以及是否適合各種用途。

Google Cloud 具備多個角色推出階段，您應瞭解三個主要的階段：

Alpha：Alpha 版階段的角色通常為實驗性質，可能會大幅修改，不建議用於正式環境。使用者可以在這個開發階段對 Alpha 版角色提供建議。

Beta：Beta 版的角色比 Alpha 版的角色更完整，但仍可能根據使用者意見修改。這個版本適用某些非正式環境，但可能不夠穩定。

General Availability (GA)：正式發布版角色經過完整的開發、測試和改良，穩定可靠，適合在正式環境中大規模使用。GA 角色已經過全面審查，可確保行為一致可靠。

4. 點選「+ 新增權限」，新增權限對話方塊就會開啟。

5. 在「依角色篩選權限」欄位中，輸入「Firebase Realtime」。

6. 在結果下拉式選單欄位中，勾選「Firebase Realtime Database Viewer」核取方塊。

7. 按一下「確定」。

8. 在「篩選器」下方，勾選「firebase.clients.list」和「firebasedatabase.instances.list」核取方塊，將這些權限新增至自訂角色。

9. 按一下「新增」。

10. 在「建立角色」對話方塊中，點按「建立」。

這時候新角色應已建立，並新增至專案中的現有角色。

點選「Check my progress」，確認工作已正確完成。 建立自訂角色

工作 2：將角色授予使用者

在這項工作中，您會將在工作 1 建立的自訂角色指派給現有使用者。

注意：在本實驗室中，您會將新角色授予「Lab Details」面板中的 Google Cloud username 2。

1. 前往 Google Cloud 控制台的「導覽選單」，依序點選「IAM 與管理」>「身分與存取權管理」，「身分與存取權管理」就會開啟。

2. 在「按照主體查看」分頁標籤中，點選「授予存取權」，授予存取權對話方塊視窗就會開啟。

「授予存取權」對話方塊是 Google Cloud IAM 系統的重要元素。您可以精確定義及管理使用者、群組和服務帳戶的權限。

3. 複製「Google Cloud username 2: 」，並貼到「新主體」欄位。

4. 展開「選取角色」下拉式選單，依序選取「自訂」和「Audit Team Reviewer」。這是您在前一個工作建立的角色。

5. 點選「儲存」。

自訂角色現在應該已指派給使用者。

點選「Check my progress」，確認工作已正確完成。 將角色授予使用者

工作 3：驗證角色

到目前為止，您已建立具備適當權限的自訂角色，並將該角色授予使用者。現在，您需要檢查使用者確實已獲派您建立的角色。確保設定正確無誤，是雲端資安分析師工作流程中不可或缺的一環。

在這項工作中，您將使用 Google Cloud 的政策分析工具建立查詢，檢查授予使用者的角色。

1. 前往 Google Cloud 控制台，依序點選「導覽選單」圖示 >「IAM 與管理」 >「政策分析工具」，政策分析工具頁面就會開啟。

2. 在「分析政策」部分的「自訂查詢」圖塊中，點選「建立自訂查詢」。Google Cloud 選單 的左上方可能會出現彈出式視窗，顯示「如想尋找適合貴企業的解決方案，您隨時可以按一下選單」。請選取「我知道了」，然後繼續執行下一個步驟。

3. 在「設定查詢參數」部分，展開「參數 1」下拉式選單，然後選取「主體」。

4. 複製「Google Cloud username 2: 」，然後貼到「主體」欄位。

5. 按一下「繼續」。

6. 在「Advanced options for query results」部分，勾選「List resources within resource(s) matching your query」核取方塊。

7. 點選「分析」，然後在下拉式選單中選取「執行查詢」。

結果應傳回已指派使用者的角色。請根據結果回答下列問題。

總結

好極了！您已使用 IAM 建立自訂角色、授予使用者該角色的存取權，並在 Google Cloud 中驗證權限。Cymbal Bank 的稽核團隊現在可以使用您建立的自訂角色，開始稽核資料庫。

IAM 會根據使用者的角色，定義誰能存取哪些資源。這是管理組織環境中數位身分的重要工具，也是雲端資安分析師的關鍵工作。

使用 IAM 服務，就能有效管理儲存空間資源的存取權和權限。

關閉實驗室

結束實驗室前，請確認已完成所有工作。如果已確定完成，請依序點選「End Lab」和「Submit」。

關閉實驗室後，就無法進入實驗室環境，也無法再次存取在實驗室完成的工作。

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。