准备工作
- 实验会创建一个 Google Cloud 项目和一些资源,供您使用限定的一段时间
- 实验有时间限制,并且没有暂停功能。如果您中途结束实验,则必须重新开始。
- 在屏幕左上角,点击开始实验即可开始
检查点
Enable Privileged Access Manager
/ 25
Create the entitlement
/ 25
Update the entitlement
/ 25
Request temporary elevated access
/ 25
实验设置说明和要求
保护您的账号和进度。请务必在无痕浏览器窗口中,使用实验凭证运行此实验。
透過 Privileged Access Manager 要求暫時提升存取權
实验说明和任务
此内容尚未针对移动设备进行优化。
为获得最佳体验,请在桌面设备上访问通过电子邮件发送的链接。
GSP1331
總覽
Privileged Access Manager (PAM) 是一項安全性解決方案,可協助組織管理及保護機密資源和資料的存取權。您可以透過這項解決方案,只在必要時向使用者短暫授予進階權限,並在不需要時撤銷,盡量降低長期特殊權限帳戶相關風險。PAM 可落實精細控管及提供稽核追蹤記錄,有助於縮小攻擊面並強化整體資安態勢。
如要深入瞭解,請參閱官方說明文件:Privileged Access Manager (PAM) 說明文件
目標
本實驗室的重點為運用 Gemini for Developers 完成下列事項:
- 瞭解 Privileged Access Manager (PAM) 的核心概念。
- 實際練習設定及管理 PAM 授權,瞭解如何在必要時提升權限。
- 示範使用 PAM 要求及核准暫時提升存取權的工作流程。
設定和需求
瞭解以下事項後,再點選「Start Lab」按鈕
請詳閱以下操作說明。實驗室活動會計時,且中途無法暫停。點選「Start Lab」後就會開始計時,顯示可使用 Google Cloud 資源的時間。
您將在真正的雲端環境完成實作實驗室活動,而不是模擬或示範環境。為此,我們會提供新的暫時憑證,供您在實驗室活動期間登入及存取 Google Cloud。
為了順利完成這個實驗室,請先確認:
- 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。
- 是時候完成實驗室活動了!別忘了,活動一旦開始將無法暫停。
如何開始研究室及登入 Google Cloud 控制台
-
點選「Start Lab」按鈕。如果實驗室會產生費用,畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目:
- 「Open Google Cloud console」按鈕
- 剩餘時間
- 必須在這個研究室中使用的臨時憑證
- 完成這個實驗室所需的其他資訊 (如有)
-
點選「Open Google Cloud console」;如果使用 Chrome 瀏覽器,也能按一下滑鼠右鍵,選取「在無痕視窗中開啟連結」。
接著,實驗室會啟動相關資源,並開啟另一個分頁,顯示「登入」頁面。
提示:您可以在不同的視窗中並排開啟分頁。
注意:如果頁面中顯示「選擇帳戶」對話方塊,請點選「使用其他帳戶」。 -
如有必要,請將下方的 Username 貼到「登入」對話方塊。
{{{user_0.username | "Username"}}} 您也可以在「Lab Details」窗格找到 Username。
-
點選「下一步」。
-
複製下方的 Password,並貼到「歡迎使用」對話方塊。
{{{user_0.password | "Password"}}} 您也可以在「Lab Details」窗格找到 Password。
-
點選「下一步」。
重要事項:請務必使用實驗室提供的憑證,而非自己的 Google Cloud 帳戶憑證。 注意:如果使用自己的 Google Cloud 帳戶來進行這個實驗室,可能會產生額外費用。 -
按過後續的所有頁面:
- 接受條款及細則。
- 由於這是臨時帳戶,請勿新增救援選項或雙重驗證機制。
- 請勿申請免費試用。
Google Cloud 控制台稍後會在這個分頁開啟。
工作 1:啟用 Privileged Access Manager
在這項工作,您必須啟用 Privileged Access Manager,並授予代理需要的角色。請使用學員實驗室面板左上角的主要使用者憑證,登入 Google Cloud 控制台。
-
在 Cloud 控制台中,依序前往「IAM 與管理」>「PAM」。
-
點選「設定 PAM」。
-
點選「授予角色」。
-
點選「完成設定」。
點選「Check my progress」,確認目標已達成。
工作 2:建立授權
在這項工作,您必須在 Privileged Access Manager 建立授權。
-
在 Cloud 控制台中,依序前往「IAM 與管理」>「PAM」>「授權」。
-
點選「建立」。
-
輸入
pam-entitlement做為授權名稱。 -
在「選取角色」中,選取「專案 IAM 管理員」。
-
在「時間長度上限」中選取「1 天」。
-
在「要求者主體」欄位中,輸入學員實驗室面板中的「Primary User’s Username」。
-
在「核准者主體」部分,輸入學生實驗室面板中的「Secondary User’s Username」。
-
點選「完成」。
-
點選「建立授權」。
點選「Check my progress」,確認目標已達成。
工作 3:更新授權
在這項工作,您將更新授權的時間長度上限。
-
在 Cloud 控制台中,依序前往「IAM 與管理」>「PAM」>「所有使用者的授權」。
-
點選
pam-entitlement的「編輯授權」圖示 ()。
-
在「時間長度上限」 中選取「10 小時」。
-
點選「更新授權」。
-
點選「確認」。
點選「Check my progress」,確認目標已達成。
工作 4:要求暫時提升存取權
在這項工作,您必須申請及核准授權。
-
在 Cloud 控制台中,依序前往「IAM 與管理」>「PAM」>「我的授權」。
-
點選「要求授予權限」。
-
在「授權的持續時間」部分,選取「10 小時」。
-
在「原因」中輸入
pam-test。 -
點選「要求授予權限」。
-
在新的無痕分頁中,以次要使用者的身分登入 Cloud 控制台。次要使用者憑證位於本實驗室面板的左上角。
-
在 Cloud 控制台中,依序前往「IAM 與管理」>「PAM」>「核准授予項目」。
-
點選「核准/拒絕」。
-
點選「核准」。
點選「Check my progress」,確認目標已達成。
工作 5:查看已核准的授予項目
-
以次要使用者身分,依序前往「IAM 與管理」>「PAM」>「授予項目」。
-
點選「所有使用者的授予項目」分頁標籤。
-
參閱表格,瞭解可用且有效的授予項目。您會發現
Requester是主要使用者,Approver是次要使用者。
這樣一來,主要使用者就能在 10 小時內使用專案 IAM 管理員角色更新 IAM 角色。
-
登出 Cloud 控制台,然後以主要使用者的憑證再次登入。
-
依序前往「IAM 與管理」>「PAM」>「授予項目」,然後點選「我的授予項目」分頁標籤。
-
您可以看到系統已授予主要使用者「專案 IAM 管理員」角色,持續時間為 10 小時。
恭喜!
在本實驗室中,您學會使用 Privileged Access Manager 管理暫時的進階存取權,瞭解如何設定授權和及時授予項目,來提升特定使用者的權限。
使用手冊上次更新日期:2025 年 5 月 26 日
實驗室上次測試日期:2025 年 5 月 26 日
Copyright 2025 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。
