GSP526

概览

在实验室挑战赛中，我们会为您提供一个场景和一系列任务。您将使用从课程的各个实验中学到的技能自行确定如何完成这些任务，而不是按照分步说明进行操作。自动评分系统（显示在本页面中）会提供有关您是否已正确完成任务的反馈。

在您参加实验室挑战赛期间，我们不会再教授新的 Google Cloud 概念知识。您需要拓展所学的技能，例如通过更改默认值和查看并研究错误消息来更正您自己所犯的错误。

要想获得满分，您必须在该时间段内成功完成所有任务！

建议已报名参加 <> 课程的学员参加此实验室挑战赛。准备好接受挑战了吗？

测试的主题

此实验考验您是否具备执行以下任务的能力：

• 启用 Privileged Access Manager (PAM) 并完成初始设置。
• 创建使用权、更新其配置，并在不再需要时将其删除。
• 通过请求、批准和撤销访问权限来管理授权。

设置和要求

点击“开始实验”按钮前的注意事项

请阅读以下说明。实验是计时的，并且您无法暂停实验。计时器在您点击开始实验后即开始计时，显示 Google Cloud 资源可供您使用多长时间。

此实操实验可让您在真实的云环境中开展实验活动，免受模拟或演示环境的局限。为此，我们会向您提供新的临时凭据，您可以在该实验的规定时间内通过此凭据登录和访问 Google Cloud。

为完成此实验，您需要：

• 能够使用标准的互联网浏览器（建议使用 Chrome 浏览器）。

注意：请使用无痕模式（推荐）或无痕浏览器窗口运行此实验。这可以避免您的个人账号与学生账号之间发生冲突，这种冲突可能导致您的个人账号产生额外费用。

• 完成实验的时间 - 请注意，实验开始后无法暂停。

注意：请仅使用学生账号完成本实验。如果您使用其他 Google Cloud 账号，则可能会向该账号收取费用。

如何开始实验并登录 Google Cloud 控制台

1. 点击开始实验按钮。如果该实验需要付费，系统会打开一个对话框供您选择支付方式。左侧是“实验详细信息”窗格，其中包含以下各项：

   • “打开 Google Cloud 控制台”按钮
   • 剩余时间
   • 进行该实验时必须使用的临时凭据
   • 帮助您逐步完成本实验所需的其他信息（如果需要）

2. 点击打开 Google Cloud 控制台（如果您使用的是 Chrome 浏览器，请右键点击并选择在无痕式窗口中打开链接）。

   该实验会启动资源并打开另一个标签页，显示“登录”页面。

   提示：将这些标签页安排在不同的窗口中，并排显示。

   注意：如果您看见选择账号对话框，请点击使用其他账号。

3. 如有必要，请复制下方的用户名，然后将其粘贴到登录对话框中。

   {{{user_0.username | "<用户名>"}}}

   您也可以在“实验详细信息”窗格中找到“用户名”。

4. 点击下一步。

5. 复制下面的密码，然后将其粘贴到欢迎对话框中。

   {{{user_0.password | "<密码>"}}}

   您也可以在“实验详细信息”窗格中找到“密码”。

6. 点击下一步。

   重要提示：您必须使用实验提供的凭据。请勿使用您的 Google Cloud 账号凭据。 注意：在本实验中使用您自己的 Google Cloud 账号可能会产生额外费用。

7. 继续在后续页面中点击以完成相应操作：

   • 接受条款及条件。
   • 由于这是临时账号，请勿添加账号恢复选项或双重验证。
   • 请勿注册免费试用。

片刻之后，系统会在此标签页中打开 Google Cloud 控制台。

注意：如需访问 Google Cloud 产品和服务，请点击导航菜单，或在搜索字段中输入服务或产品的名称。

挑战场景

以下是 Cymbal Group 的公司概览：

Cymbal 的总部位于明尼苏达州明尼阿波利斯，目前在全球范围内有 775,000 名员工。据报道，其 2019 年的收入达到 1,920 亿美元。

Cymbal 一直致力于创新，不断探索有意义的方式来转变行业，并为客户提供更出色的体验。Cymbal 的品牌业务涵盖多个领域，包括制造业、金融服务、媒体、医疗保健、零售、航空和教育。

Cymbal Group 一直在快速向云优先的运营模式转型。Cymbal Bank、Superstore 和其他 Cymbal Group 资产都已采用 Google Cloud，将其作为技术策略的一部分。

作为 Cymbal Group 的云管理员，您负责管理对关键资源的特权访问。您的职责包括启用 Privileged Access Manager，配置使用权，以及通过创建、更新和删除使用权来监督访问权限控制。此外，您还需要通过管理授权来确保安全运营，包括根据需要请求、批准和撤销访问权限。

您的挑战

在本实验中，您的挑战是使用 Privileged Access Manager 启用和配置安全的访问权限控制，管理使用权，以及处理即时特权提升。您还需要在必要时撤销授权，并查看审核日志以跟踪访问历史记录，从而确保合规性并强制执行最小权限原则。

任务 1. 启用 Privileged Access Manager

在此任务中，您必须启用 Privileged Access Manager，然后向代理授予角色。

• 向 Privileged Access Manager 服务代理授予 Privileged Access Manager Service Agent 角色。

点击检查我的进度以验证是否完成了以下目标： 启用 Privileged Access Manager

任务 2. 创建使用权

在此任务中，您必须在 Privileged Access Manager 中创建使用权。

• 创建使用权，但不提供请求者和审批者的理由。确保其具有以下配置：

参数	配置
使用权名称	pam-entitlement
角色	Compute Admin
时长上限	10 小时
请求者主账号
审批者主账号

点击检查我的进度以验证是否完成了以下目标： 创建使用权

任务 3. 更新使用权

在此任务中，您必须更新使用权的时长上限。

• 更新 Privileged Access Manager 中 pam-entitlement 使用权的时长上限，将其设置为 4 小时。

点击检查我的进度以验证是否完成了以下目标： 更新使用权

任务 4. 通过 Privileged Access Manager 请求临时提升访问权限

在此任务中，您必须请求并批准一项授权。

1. 以 用户的身份请求授予 pam-entitlement 使用权，时长 4 小时。

2. 以 用户的身份批准授权请求。

点击检查我的进度以验证是否完成了以下目标： 通过 Privileged Access Manager 请求临时提升访问权限

任务 5. 撤销授权

在此任务中，您必须撤销授权。

• 撤销针对 用户批准的授权。

点击检查我的进度以验证是否完成了以下目标： 撤销授权

任务 6. 删除使用权并查看审核日志

在此任务中，您必须删除使用权并查看审核日志。

1. 删除 pam-entitlement 使用权。
2. 使用 Google Cloud 控制台查看 pam-entitlement 的 Privileged Access Manager 审核日志。

点击检查我的进度以验证是否完成了以下目标： 删除使用权

恭喜！

您已配置使用权，处理即时授权，撤销访问权限，并查看审核日志，以确保实现安全合规的访问权限控制，成功展示了自己使用 Privileged Access Manager 管理特权访问的能力。

本手册的最后更新时间：2025 年 5 月 5 日

本实验的最后测试时间：2025 年 5 月 5 日

版权所有 2025 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名和产品名可能是其各自相关公司的商标。