GSP526

總覽

在挑戰研究室中，您會在特定情境下完成一系列任務。挑戰研究室不會提供逐步說明，您將運用從課程研究室學到的技巧，自行找出方法完成任務！自動評分系統 (如本頁所示) 將根據您是否正確完成任務來提供意見回饋。

在您完成任務的期間，挑戰研究室不會介紹新的 Google Cloud 概念。您須靈活運用所學技巧，例如變更預設值或詳讀並研究錯誤訊息，解決遇到的問題。

若想滿分達標，就必須在時限內成功完成所有任務！

本實驗室適合已參加「<>」課程的學員。準備好迎接挑戰了嗎？

測驗主題

挑戰本實驗室，並展現下列能力：

• 啟用 Privileged Access Manager (PAM)，並完成初始設定。
• 建立授權、更新相關設定，以及在不需要時刪除授權。
• 管理授權，包括要求、核准及撤銷存取權。

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

挑戰情境

Cymbal Group 的公司簡介：

Cymbal 總部位於明尼蘇達州的明尼亞波利斯市，目前全球有 775,000 名員工，2019 年營收為 $1,920 億美元。

該公司一向致力於創新，發掘有意義的產業轉型方式，以及為客戶提供更優質的體驗。品牌業務涵蓋眾多產業，包括製造業、金融服務業、媒體業、醫療保健業、零售業、航空業和教育業。

Cymbal Group 正快速轉移至雲端優先的營運模式。做為技術策略的一環，Cymbal Bank、Superstore 和其他 Cymbal Group 資產都已採用 Google Cloud。

您是 Cymbal Group 的雲端管理員，負責重要資源的特殊存取權。您的角色包括啟用 Privileged Access Manager、設定授權，以及建立、更新和刪除授權，監督存取控管。此外，您還要管理授權，包括在需要時要求、核准及撤銷存取權，確保營運安全。

您的挑戰

在這個挑戰實驗室中，您必須使用 Privileged Access Manager 啟用及設定安全存取控管、管理授權，以及即時提升權限。您也要在必要時撤銷授權，並透過稽核記錄追蹤存取記錄，確保符合規範，並執行最小權限原則。

工作 1：啟用 Privileged Access Manager

在這項工作，您必須啟用 Privileged Access Manager，並授予代理需要的角色。

• 授予 Privileged Access Manager 服務代理「Privileged Access Manager 服務代理」角色。

點選「Check my progress」，確認已達成目標。 啟用 Privileged Access Manager

工作 2：建立授權

在這項工作，您必須在 Privileged Access Manager 建立授權。

• 建立無須要求者和核准者提供理由的授權，並確認設定如下：

參數	設定
授權名稱	pam-entitlement
角色	Compute 管理員
時間長度上限	10 小時
要求者主體
核准者主體

點選「Check my progress」，確認已達成目標。 建立授權

工作 3：更新授權

在這項工作，您必須更新授權的時間長度上限。

• 在 Privileged Access Manager，將 pam-entitlement 授權的「時間長度上限」更新為 4 小時。

點選「Check my progress」，確認已達成目標。 更新授權

工作 4：透過 Privileged Access Manager 要求暫時提升存取權

在這項工作，您必須要求及核准授權。

1. 以 使用者身分，要求 4 小時的 pam-entitlement 授權。

2. 以 使用者身分核准授權要求。

點選「Check my progress」，確認已達成目標。 透過 Privileged Access Manager 要求暫時提升存取權

工作 5：撤銷授權

在這項工作，您必須撤銷授權。

• 撤銷向 使用者核准的授權。

點選「Check my progress」，確認已達成目標。 撤銷授權

工作 6：刪除授權並查看稽核記錄

在這項工作，您必須刪除授權並查看稽核記錄。

1. 刪除 pam-entitlement 授權。
2. 使用 Google Cloud 控制台，查看 pam-entitlement 的 Privileged Access Manager 稽核記錄。

點選「Check my progress」，確認已達成目標。 刪除授權

恭喜！

您已成功設定授權、即時授予權限、撤銷存取權及運用稽核記錄，展現使用 Privileged Access Manager 管理特殊存取權的能力，確保存取控管安全無虞且符合規定。

使用手冊上次更新日期：2025 年 5 月 5 日

實驗室上次測試日期：2025 年 5 月 5 日

Copyright 2025 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。