Loading...
No results found.

Apply your skills in Google Cloud console

Lab setup instructions and requirements
Protect your account and progress. Always use a private browser window and lab credentials to run this lab.

Cloud IAM:Qwik Start

Lab 15 minutes universal_currency_alt 1 Credit show_chart Introductory
info This lab may incorporate AI tools to support your learning.
This content is not yet optimized for mobile devices.
For the best experience, please visit us on a desktop computer using a link sent by email.

GSP064

Google Cloud 自學實驗室

總覽

Google Cloud 的 Identity and Access Management (IAM) 服務可用來建立及管理 Google Cloud 資源的權限。Cloud IAM 將 Google Cloud 服務的存取控管整合至單一系統,提供一致的操作方式。

在這個實驗室中,您將使用 2 組不同的憑證登入,透過 Google Cloud「專案擁有者」和「檢視者」角色,體驗授予和撤銷權限的控管機制。

課程內容

  • 將角色指派給第二位使用者
  • 移除與 Cloud IAM 相關的指派角色

事前準備

這是入門等級的實驗室,即使幾乎或完全沒有 Cloud IAM 相關知識,也能參加。熟悉 Cloud Storage 有助於完成本實驗室任務,但並非必要條件。請務必備妥 .txt 或 .html 格式的檔案。如想體驗更進階的 Cloud IAM 實作練習,請參考下列 Google Skills 實驗室:IAM 自訂角色

準備好後,請向下捲動頁面,並按照步驟設定實驗室環境。

設定和需求

如前所述,這個實驗室會提供兩組憑證,用來說明 IAM 政策及特定角色擁有的權限。

實驗室左側的「Lab Connection」面板上會列出像下圖這樣的憑證:

提供實驗室憑證的「Lab Connection」面板

請注意,一共有「兩組」使用者名稱:Username 1 和 Username 2。這些名稱代表使用者在 Cloud IAM 中的身分,分別有不同的存取權限。這些「角色」限定了您在分派到的專案中,可以或不能對 Google Cloud 資源進行的操作。

以第一位使用者的身分登入 Cloud 控制台

  1. 點選「Open Google Console」按鈕,系統會開啟新瀏覽器分頁。如果系統要求您選擇帳戶,請點選「使用其他帳戶」
  2. Google Cloud 登入頁面會隨即開啟。登入頁面開啟後,複製 Username 1 憑證 (格式看起來會像 googlexxxxxx_student@qwiklabs.net 這樣),貼到「電子郵件地址或電話號碼」欄位,然後點選「下一步」
  3. 複製「Lab Connection」面板中的密碼,然後貼到 Google 登入畫面的密碼欄位。
  4. 點選「下一步」,然後接受服務條款。Cloud 控制台會隨即開啟,請閱讀服務條款,然後點選「同意並繼續」

以第二位使用者的身分登入 Cloud 控制台

  1. 再次點選「Open Google Console」按鈕,系統會開啟新瀏覽器分頁。如果系統要求您選擇帳戶,請點選「使用其他帳戶」
  2. Google Cloud 登入頁面會隨即開啟。複製 Username 2 憑證 (格式看起來會像 googlexxxxxx_student@qwiklabs.net 這樣),貼到「電子郵件地址或電話號碼」欄位,然後點選「下一步」
  3. 複製「Lab Connection」面板中的密碼,然後貼到 Google 登入畫面的密碼欄位。
  4. 點選「下一步」,然後接受服務條款。Cloud 控制台會隨即開啟,請閱讀服務條款,然後點選「同意並繼續」

瀏覽器現在應該會有兩個開啟中的 Cloud 控制台分頁,一個登入身分是 Username 1,另一個則是 Username 2。

在瀏覽器分頁中查看或重設使用者

有時候瀏覽器分頁中的使用者會遭到覆寫,或者您有可能不清楚是哪位使用者登入哪個瀏覽器分頁。

如要查看登入瀏覽器分頁的使用者身分,請將滑鼠游標懸停在顯示圖片上,即可查看登入該瀏覽器分頁的使用者名稱。

將滑鼠游標懸停在顯示圖片上,查看使用者名稱

重設登入瀏覽器分頁的使用者:

  1. 依序點選顯示圖片和「登出」,即可登出。
  2. 在「Lab Connection」面板中,點選「Open Google Console」,然後以適用的使用者名稱與密碼重新登入。

工作 1:熟悉 IAM 控制台操作和專案層級角色

  1. 回到 Username 1 Cloud 控制台頁面。
  2. 依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」,即可進入「IAM 與管理」控制台。
  3. 點選頁面頂端的「+授予存取權」按鈕。
  4. 在「選取角色」部分,向下捲動到「基本」,並將滑鼠游標停在上面。

共有三個角色:

  • 編輯者
  • 擁有者
  • 檢視者

這些是 Google Cloud 的「原始角色」。原始角色設定的是專案層級的權限,除非另外指定,否則這些角色將控管所有 Google Cloud 服務的存取權與管理作業。

下表節錄 Google Cloud IAM 文章中的基本角色定義,簡單說明瀏覽者、檢視者、編輯者和擁有者的角色權限:

角色名稱

權限

roles/viewer

不會影響狀態的唯讀操作權限,例如檢視 (但不修改) 現有的資源或資料。

roles/editor

所有檢視者權限,以及會修改狀態的操作權限 (像是變更現有的資源)。

roles/owner

所有的編輯者權限及下列操作的權限:

  • 管理專案的角色和權限,以及專案內的所有資源。
  • 設定專案帳單。

由於您可以管理這個專案的角色和權限,Username 1 即具備專案擁有者權限。

  1. 點選「取消」,退出「新增主體」面板。

瞭解編輯者角色

現在切換到 Username 2 控制台。

  1. 依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」,前往「IAM 與管理」控制台。

  2. 在表格中搜尋 Username 1 和 Username 2,查看這兩個使用者的角色。角色會分別顯示在 Username 1 和 Username 2 所在的資料列中,位於名稱的右邊。

您應該會看到:

  • Username 2 獲派「檢視者」角色。
  • 畫面頂端的「+授予存取權」按鈕顯示為灰色,如果您嘗試點選按鈕,則會顯示訊息:「權限不足,無法執行這項操作。必要權限:resource manager.projects.setIamPolicy」。

這個例子說明了 IAM 角色會影響使用者在 Google Cloud 中的操作權限。

  1. 切換回 Username 1 控制台,進行下一步驟。

工作 2:準備好用來測試存取權的 Cloud Storage bucket

請確認目前位於 Username 1 Cloud 控制台。

建立 bucket

  1. 建立具備專屬名稱的 Cloud Storage bucket。在 Cloud 控制台中,依序選取「導覽選單」>「Cloud Storage」>「Bucket」

  2. 點選「+建立」

注意:如果建立 bucket 時收到權限錯誤訊息,請先登出,然後使用 Username 1 憑證重新登入。
  1. 更新下列欄位,其他欄位則一概保留預設值:

屬性

名稱

輸入全域不重複名稱 (請自行取名!),然後點選「繼續」

位置類型:

多區域

請記下 bucket 名稱,後續步驟會用到。

  1. 點選「建立」。

  2. 如果出現「系統會禁止公開存取」提示訊息,請點選「確認」。

注意:如果建立 bucket 時收到權限錯誤訊息,請先登出,然後使用 Username 1 憑證重新登入。

上傳範例檔案

  1. 在「bucket 詳細資料」頁面上,點選「上傳檔案」

  2. 在電腦中找到要使用的檔案,任何文字檔或 html 檔案都可以。

  3. 找到該檔案所在的資料行,點選行末的三點圖示,然後按一下「重新命名」

  4. 將檔案重新命名為 sample.txt

  5. 點選「重新命名」

點選「Check my progress」,確認目標已達成。

建立 bucket 並上傳範例檔案

驗證專案檢視者權限

  1. 切換到 Username 2 控制台。

  2. 在控制台中,依序選取「導覽選單」>「Cloud Storage」>「Bucket」。請確認該使用者能否看到 bucket。

Username 2 獲派的角色是「檢視者」,因此只能執行不影響狀態的唯讀操作。本範例說明了該權限的作用:使用者可以查看自己有權存取的 Google Cloud 專案中的 Cloud Storage bucket 和檔案。

工作 3:移除專案存取權

切換到 Username 1 控制台。

移除 Username 2 的專案檢視者權限

  1. 依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」,然後點選與 Username 2 同一列,位於其右方的「鉛筆」圖示。
注意:您可能需要拉寬畫面,才能看到「鉛筆」圖示。
  1. 點選角色名稱旁的「垃圾桶」圖示,即可移除 Username 2 的專案檢視者權限。完成後再點選「儲存」

此時您會發現,該使用者已從成員清單中消失,沒有存取權了。

注意:您所做的變更最多可能需要 80 秒才會套用生效。如要進一步瞭解 Google Cloud IAM,請參閱 Google Cloud IAM 資源說明文件的常見問題

確認 Username 2 已沒有存取權

  1. 切換到 Username 2 Cloud 控制台。確認您仍是使用 Username 2 的憑證登入,且在權限撤銷後沒有登出專案。如果登出,請使用正確的憑證重新登入。

  2. 依序選取「導覽選單」>「Cloud Storage」>「Bucket」,回到 Cloud Storage 中。

您應該會看到權限錯誤訊息。

注意:如前所述,撤銷權限的操作最多可能需要 80 秒才會生效。如未看到權限錯誤訊息,請稍候 2 分鐘,再重新整理控制台。

點選「Check my progress」,確認目標已達成。

移除專案存取權

工作 4:新增 Cloud Storage 權限

  1. 複製「Lab Connection」面板中的 Username 2 名稱。

  2. 切換到 Username 1 控制台。確認您仍是使用 Username 1 的憑證登入。如果登出,請使用正確的憑證重新登入。

  3. 在控制台中,依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」

  4. 按一下「+授予存取權」按鈕,並將 Username 2 名稱貼到「新增主體」欄位。

  5. 在「選取角色」欄位中,從下拉式選單中依序選取「Cloud Storage」>「Storage 物件檢視者」

  6. 點選「儲存」

驗證存取權

  1. 切換到 Username 2 控制台。您還是會在 Storage 頁面中。

Username 2 沒有專案檢視者的角色,因此在控制台中看不到專案或其資源,但有 Cloud Storage 的特定存取權,也就是「Storage 物件檢視者」角色。現在來看看!

  1. 點選「啟用 Cloud Shell」啟用 Cloud Shell 的圖示,開啟 Cloud Shell 指令列。如果出現提示訊息,請點選「繼續」

  2. 開啟 Cloud Shell 工作階段,然後輸入下列指令,將 [YOUR_BUCKET_NAME] 改成您先前建立的 bucket 名稱:

gsutil ls gs://[YOUR_BUCKET_NAME]

輸出內容應會類似以下內容:

gs://[YOUR_BUCKET_NAME]/sample.txt 注意:如果您看到 AccessDeniedException,請等待一分鐘,然後再執行上述指令。
  1. 此時您已把 Cloud Storage bucket 的檢視權限授予 Username 2

點選「Check my progress」,確認目標已達成。

新增 Cloud Storage 權限

恭喜!

在這個實驗室中,您練習了如何授予及撤銷使用者的 Cloud IAM 角色。

後續步驟/瞭解詳情

這個實驗室也包含在「Qwik Start」系列中,這些實驗室可帶您一窺 Google Cloud 的眾多功能。歡迎在 Google Skills 目錄搜尋「Qwik Start」,看看接下來要參加哪個實驗室!

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期:2024 年 4 月 15 日

實驗室上次測試日期:2024 年 4 月 8 日

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

Use private browsing

  1. Copy the provided Username and Password for the lab
  2. Click Open console in private mode

Sign in to the Console

  1. Sign in using your lab credentials. Using other credentials might cause errors or incur charges.
  2. Accept the terms, and skip the recovery resource page
  3. Don't click End lab unless you've finished the lab or want to restart it, as it will clear your work and remove the project

This content is not currently available

We will notify you via email when it becomes available

Great!

We will contact you via email if it becomes available

One lab at a time

Confirm to end all existing labs and start this one

Use private browsing to run the lab

Using an Incognito or private browser window is the best way to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.