正在加载…
未找到任何结果。

在 Google Cloud 控制台中运用您的技能

实验设置说明和要求
保护您的账号和进度。请务必在无痕浏览器窗口中,使用实验凭证运行此实验。

通过 Privileged Access Manager 请求临时提升访问权限

实验 15 分钟 universal_currency_alt 7 个点数 show_chart 高级
info 此实验可能会提供 AI 工具来支持您学习。
此内容尚未针对移动设备进行优化。
为获得最佳体验,请在桌面设备上访问通过电子邮件发送的链接。

GSP1331

Google Cloud 自学实验的徽标

概览

Privileged Access Manager (PAM) 是一种安全解决方案,可帮助组织管理和保护对敏感资源及数据的访问。它仅在用户需要时且仅在其需要的时长内授予用户即时的临时提权,从而最大限度地降低与长期存在的特权账号相关的风险。通过强制执行精细控制并提供审核跟踪记录,PAM 可帮助减少攻击面并提高整体安全状况。

如需了解更多详细信息,请参阅官方文档:Privileged Access Manager (PAM) 文档

目标

本实验的重点是使用开发者工具 Gemini 完成下列事项:

  • 了解 Privileged Access Manager (PAM) 的核心概念。
  • 获得有关设置和管理 PAM 使用权以实现即时特权提升的实践经验。
  • 展示使用 PAM 请求和批准临时提升访问权限的工作流。

设置和要求

点击“开始实验”按钮前的注意事项

请阅读以下说明。实验是计时的,并且您无法暂停实验。计时器在您点击开始实验后即开始计时,显示 Google Cloud 资源可供您使用多长时间。

此实操实验可让您在真实的云环境中开展实验活动,免受模拟或演示环境的局限。为此,我们会向您提供新的临时凭据,您可以在该实验的规定时间内通过此凭据登录和访问 Google Cloud。

为完成此实验,您需要:

  • 能够使用标准的互联网浏览器(建议使用 Chrome 浏览器)。
注意:请使用无痕模式(推荐)或无痕浏览器窗口运行此实验。这可以避免您的个人账号与学生账号之间发生冲突,这种冲突可能导致您的个人账号产生额外费用。
  • 完成实验的时间 - 请注意,实验开始后无法暂停。
注意:请仅使用学生账号完成本实验。如果您使用其他 Google Cloud 账号,则可能会向该账号收取费用。

如何开始实验并登录 Google Cloud 控制台

  1. 点击开始实验按钮。如果该实验需要付费,系统会打开一个对话框供您选择支付方式。左侧是“实验详细信息”窗格,其中包含以下各项:

    • “打开 Google Cloud 控制台”按钮
    • 剩余时间
    • 进行该实验时必须使用的临时凭据
    • 帮助您逐步完成本实验所需的其他信息(如果需要)

  2. 点击打开 Google Cloud 控制台(如果您使用的是 Chrome 浏览器,请右键点击并选择在无痕式窗口中打开链接)。

    该实验会启动资源并打开另一个标签页,显示“登录”页面。

    提示:将这些标签页安排在不同的窗口中,并排显示。

    注意:如果您看见选择账号对话框,请点击使用其他账号

  3. 如有必要,请复制下方的用户名,然后将其粘贴到登录对话框中。

    {{{user_0.username | "<用户名>"}}}

    您也可以在“实验详细信息”窗格中找到“用户名”。

  4. 点击下一步

  5. 复制下面的密码,然后将其粘贴到欢迎对话框中。

    {{{user_0.password | "<密码>"}}}

    您也可以在“实验详细信息”窗格中找到“密码”。

  6. 点击下一步

    重要提示:您必须使用实验提供的凭据。请勿使用您的 Google Cloud 账号凭据。 注意:在本实验中使用您自己的 Google Cloud 账号可能会产生额外费用。

  7. 继续在后续页面中点击以完成相应操作:

    • 接受条款及条件。
    • 由于这是临时账号,请勿添加账号恢复选项或双重验证。
    • 请勿注册免费试用。

片刻之后,系统会在此标签页中打开 Google Cloud 控制台。

注意:如需访问 Google Cloud 产品和服务,请点击导航菜单,或在搜索字段中输入服务或产品的名称。 “导航菜单”图标和“搜索”字段

任务 1. 启用 Privileged Access Manager

在此任务中,您必须启用 Privileged Access Manager,然后向代理授予角色。使用左上角学生实验面板中的主要用户的凭证登录 Google Cloud 控制台。

  1. Cloud 控制台中,依次前往 IAM 和管理 > PAM

  2. 点击设置 PAM

  3. 点击授予角色

  4. 点击完成设置

点击检查我的进度,验证已完成以下目标: 启用 Privileged Access Manager。

任务 2. 创建使用权

在此任务中,您必须在 Privileged Access Manager 中创建使用权。

  1. Cloud 控制台中,依次前往 IAM 和管理 > PAM > 使用权

  2. 点击创建

  3. 对于使用权名称,请输入 pam-entitlement

  4. 选择角色部分,选择 Project IAM Admin

  5. 对于时长上限,选择 1 天

  6. 对于请求者主账号,输入学生实验面板中显示的主要用户的用户名

  7. 对于审批者主账号,输入学生实验面板中显示的辅助用户的用户名

  8. 点击完成

  9. 点击创建使用权

点击检查我的进度,验证已完成以下目标: 创建使用权。

任务 3. 更新使用权

在此任务中,您将更新使用权的时长上限。

  1. Cloud 控制台中,依次前往 IAM 和管理 > PAM > 面向所有用户的使用权

  2. 点击 pam-entitlement 对应的修改使用权图标 (表示修改操作的铅笔图标)。

  3. 对于时长上限,选择 10 小时

  4. 点击更新使用权

  5. 点击确认

点击检查我的进度,验证已完成以下目标: 更新使用权

任务 4. 请求临时提升访问权限

在此任务中,您必须请求并批准一项授权。

  1. Cloud 控制台中,依次前往 IAM 和管理 > PAM > 我的使用权

  2. 点击请求授权

  3. 对于授权时长,选择 10 小时

  4. 对于理由,输入 pam-test

  5. 点击请求授权

  6. 在新的无痕式标签页中以辅助用户的身份登录 Cloud 控制台。辅助用户凭证位于本实验左上角的实验面板中。

  7. Cloud 控制台中,依次前往 IAM 和管理 > PAM > 批准授权

  8. 点击批准/拒绝

  9. 点击批准

点击检查我的进度,验证已完成以下目标: 请求临时提升访问权限。

任务 5. 查看已获批的授权

  1. 以辅助用户的身份,依次前往 IAM 和管理 > PAM > 授权

  2. 选择所有用户的授权标签页。

  3. 查看提供的表,了解可用的有效授权。您会发现,请求者是主要用户,而审批者是辅助用户。

这可让主要用户利用 Project IAM Admin 角色在 10 小时内更新 IAM 角色。

  1. 退出 Cloud 控制台,然后使用主要用户的凭证重新登录。

  2. 依次前往 IAM 和管理 > PAM > 授权,然后选择我的授权标签页。

  3. 可以看到,已向主要用户授予 Project IAM Admin 角色,时长为 10 小时。

恭喜!

在本实验中,您通过配置使用权和即时授权以提升特定用户的特权,了解了如何使用 Privileged Access Manager 管理临时提升的访问权限。

上次更新手册的时间:2025 年 5 月 26 日

上次测试实验的时间:2025 年 5 月 26 日

版权所有 2025 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名和产品名可能是其各自相关公司的商标。

准备工作

  1. 实验会创建一个 Google Cloud 项目和一些资源,供您使用限定的一段时间
  2. 实验有时间限制,并且没有暂停功能。如果您中途结束实验,则必须重新开始。
  3. 在屏幕左上角,点击开始实验即可开始

使用无痕浏览模式

  1. 复制系统为实验提供的用户名密码
  2. 在无痕浏览模式下,点击打开控制台

登录控制台

  1. 使用您的实验凭证登录。使用其他凭证可能会导致错误或产生费用。
  2. 接受条款,并跳过恢复资源页面
  3. 除非您已完成此实验或想要重新开始,否则请勿点击结束实验,因为点击后系统会清除您的工作并移除该项目

此内容目前不可用

一旦可用,我们会通过电子邮件告知您

太好了!

一旦可用,我们会通过电子邮件告知您

一次一个实验

确认结束所有现有实验并开始此实验

使用无痕浏览模式运行实验

使用无痕模式或无痕浏览器窗口是运行此实验的最佳方式。这可以避免您的个人账号与学生账号之间发生冲突,这种冲突可能导致您的个人账号产生额外费用。