Deploy a Cloud Run service

Check my progress

/ 20

Enable and add policy to IAP

Check my progress

/ 30

Access User Identity Information

Check my progress

/ 25

Use Cryptographic Verification

Check my progress

/ 25

This lab may incorporate AI tools to support your learning.

GSP499

Google Cloud 自學實驗室

總覽

在本實驗室中,您將透過 Cloud Run 建構簡單的網頁應用程式,並瞭解如何使用 Identity-Aware Proxy (IAP) 限制應用程式存取權,以及向應用程式提供使用者身分資訊。這個應用程式將會:

  • 顯示歡迎頁面。
  • 存取 IAP 提供的使用者身分資訊。
  • 採用加密編譯驗證,防止使用者身分資訊遭假冒。

課程內容

在本實驗室中,您將瞭解如何執行下列工作:

  • 使用 Python 編寫及部署簡單的 Cloud Run 服務。
  • 啟用和停用 IAP 來限制應用程式存取權。
  • 透過 IAP 取得使用者身分資訊並提供給應用程式。
  • 以加密編譯方式驗證 IAP 提供的資訊,防範假冒行為。

事前準備

若您具備 Python 程式語言的基本知識,學習過程將能事半功倍。

本實驗室主要聚焦於 Cloud Run 和 IAP,與主題無關的概念和程式碼區塊僅會簡單帶過,供您直接複製及貼上。

Identity-Aware Proxy 簡介

網頁應用程式往往需要驗證使用者身分,而這通常得在應用程式中特別撰寫程式碼。如果是 Google Cloud 應用程式,則可將這類工作交由 Identity-Aware Proxy 服務處理。若只需要限制特定使用者的存取權,應用程式無須進行任何變更。如果應用程式需要知道使用者的身分 (例如為了將使用者偏好保留於伺服器端),則 Identity-Aware Proxy 可運用最少的應用程式程式碼提供這項資訊。

什麼是 Identity-Aware Proxy?

Identity-Aware Proxy (IAP) 是一項 Google Cloud 服務,可攔截傳送至應用程式的網頁要求,使用 Google Identity 服務對發出請求的使用者進行身分驗證,並只允許您授權的使用者所傳送的要求。此外,這項功能還能修改要求標頭,加入已驗證使用者相關資訊。

設定和需求

瞭解以下事項後,再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時,且中途無法暫停。點選「Start Lab」後就會開始計時,顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動,而不是模擬或示範環境。為此,我們會提供新的暫時憑證,供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室,請先確認:

  • 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。
注意事項:請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室,這可以防止個人帳戶和學員帳戶之間的衝突,避免個人帳戶產生額外費用。
  • 是時候完成實驗室活動了!別忘了,活動一旦開始將無法暫停。
注意事項:務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶,可能會產生額外費用。

如何開始實驗室及登入 Google Cloud 控制台

  1. 按一下「Start Lab」按鈕。如果實驗室會產生費用,請在開啟的對話方塊中選取付款方式。右側的「Lab setup and access」面板會顯示下列項目:

    • 「Open Google Cloud console」按鈕
    • 此實驗室所需的臨時憑證 (使用者名稱和密碼)
    • 完成此實驗室所需的其他資訊 (如有)

    請注意,實驗室計時器位於頁面頂端附近,會顯示剩餘時間。

  2. 按一下「Open Google Cloud console」。如果使用 Chrome 瀏覽器,也可以按一下滑鼠右鍵,選取「在無痕視窗中開啟連結」

    接著,實驗室會啟動相關資源,並開啟另一個分頁,顯示「登入」頁面。

    提示:您可以在不同的視窗並排開啟分頁。

    注意:頁面顯示「選擇帳戶」對話方塊時,請點選「使用其他帳戶」
  3. 如有必要,請將下方的 Username 貼到「登入」對話方塊。

    {{{user_0.username | "Username"}}}

    您也可以在「Lab setup and access」面板找到「Username」。

  4. 點選「下一步」

  5. 複製下方的 Password,並貼到「歡迎使用」對話方塊。

    {{{user_0.password | "Password"}}}

    您也可以在「Lab setup and access」面板找到「Password」。

  6. 點選「下一步」

    重要事項:請務必使用實驗室提供的憑證,而非自己的 Google Cloud 帳戶憑證。 注意:如果使用自己的 Google Cloud 帳戶來進行這個實驗室,可能會產生額外費用。
  7. 繼續點按後續頁面:

    • 接受條款及細則。
    • 由於這是臨時帳戶,請勿新增救援選項或雙重驗證機制。
    • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意:如要使用 Google Cloud 產品和服務,請按一下「導覽選單」,或在「搜尋」欄位輸入服務或產品名稱。「導覽選單」圖示和搜尋欄位

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器,提供永久的 5 GB 主目錄,而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權,方便您使用 Google Cloud 資源。

  1. 點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示 「啟動 Cloud Shell」圖示

  2. 系統顯示視窗時,請按照下列步驟操作:

    • 繼續操作 Cloud Shell 視窗。
    • 授權 Cloud Shell 使用您的憑證發出 Google Cloud API 呼叫。

連線建立完成即代表已通過驗證,而且專案已設為您的 Project_ID。輸出內容中有一行文字,宣告本工作階段的 Project_ID

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud 是 Google Cloud 的指令列工具,已預先安裝於 Cloud Shell,並支援 Tab 鍵自動完成功能。

  1. (選用) 您可以執行下列指令來列出使用中的帳戶:
gcloud auth list
  1. 點按「授權」

輸出內容:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (選用) 您可以使用下列指令來列出專案 ID:
gcloud config list project

輸出內容:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 注意:如需 gcloud 的完整說明,請前往 Google Cloud 參閱 gcloud CLI 總覽指南

下載程式碼

按一下 Cloud Shell 中的指令列區域,即可輸入指令。

從公開儲存空間 bucket 下載程式碼,然後切換至程式碼資料夾:

gcloud storage cp gs://{{{project_0.project_id}}}-bucket/user-authentication-with-iap.zip . unzip user-authentication-with-iap.zip cd user-authentication-with-iap

這個資料夾包含本實驗室每個步驟的子資料夾。您必須切換至正確的資料夾才能執行每個步驟。

工作 1:部署應用程式並設定 IAP 保護措施

這是以 Python 編寫的 Cloud Run 服務,只會顯示「Hello, world」歡迎頁面。我們將部署並測試應用程式,然後使用 IAP 限制存取權。

查看應用程式程式碼

  • 從主要專案資料夾切換至包含此步驟程式碼的 1-HelloWorld 子資料夾。
cd 1-HelloWorld

應用程式程式碼位於 main.py 檔案中。此程式使用 Flask 網頁框架,透過範本內容回應網頁要求。該範本檔案位於 templates/index.html,在這個步驟中僅包含純 HTML。第二個範本檔案位於 templates/privacy.html,提供簡略的隱私權政策範例。

另外還有一個 requirements.txt 檔案,當中列出應用程式使用的所有非預設 Python 程式庫。

您可以使用 cat 指令在殼層中列出每個檔案,如下所示:

cat main.py

或者,您也能點選 Cloud Shell 工具列的「開啟編輯器」鉛筆圖示,啟動 Cloud Shell 程式碼編輯器並檢查程式碼。

在這個步驟中,您不需要變更任何檔案。

部署至 Cloud Run

  1. 將應用程式部署至 Cloud Run:
gcloud run deploy user-auth-lab --source . --allow-unauthenticated --region={{{ project_0.default_region | "REGION" }}}
  1. 系統提示您啟用 API 時,請輸入 Y 表示同意。如果提示訊息指出須建立 Artifact Registry 存放區才能繼續,同樣輸入 Y

部署作業會在幾分鐘內完成,隨後將顯示內含服務網址的訊息。

  1. 在新瀏覽器分頁開啟顯示的服務網址,即可查看網頁。在這個階段,存取權尚未受到限制。

IAP Hello World 分頁

點選「Check my progress」,確認目標已達成。 部署 Cloud Run 服務

使用 IAP 限制存取權

  1. 前往 Google Cloud 控制台,依序點選「導覽選單」圖示 「導覽選單」圖示 >「安全性」>「Identity-Aware Proxy」

  2. 點選「啟用 API」

  3. 點選「前往 Identity-Aware Proxy」

  4. 點選「user-auth-lab」旁的「IAP」欄切換鈕來啟用 IAP。

  5. 點選「啟用」確認操作。

測試 IAP 是否已啟用

  1. 開啟新的瀏覽器分頁,然後前往應用程式網址,您將看見「使用 Google 帳戶登入」頁面。

  2. 使用您用來登入控制台的學員帳戶憑證登入。

    畫面會顯示拒絕存取。這表示您已成功使用 IAP 保護應用程式,但尚未授權任何使用者帳戶。

  3. 返回控制台的「Identity-Aware Proxy」頁面。

  4. 勾選 user-auth-lab Cloud Run 服務旁的核取方塊,開啟右側的詳細資料側欄。

  5. 點選「新增主體」

  6. 在「新主體」部分,輸入您的學員電子郵件地址。

  7. 在「選取角色」部分,依序選取「Cloud IAP」>「受 IAP 保護的網頁應用程式使用者」

  8. 點選「儲存」。 頁面底部會顯示「已更新政策」訊息。

  9. 返回應用程式,然後重新載入頁面。您已使用授權的帳戶登入,現在應該能看到網頁應用程式。

注意: 角色變更需要一分鐘才會生效。如果頁面仍顯示「You don't have access」訊息,請稍後再重新整理頁面。

點選「Check my progress」,確認目標已達成。 啟用政策並新增至 IAP

如果仍看到存取遭拒頁面,請清除 IAP 登入 Cookie:

  1. 在服務網址結尾附加 /_gcp_iap/clear_login_cookie (例如 https://user-auth-lab-[random-hash].run.app/_gcp_iap/clear_login_cookie),然後開啟連結。
  2. 新的「使用 Google 帳戶登入」頁面顯示時,請點選「使用其他帳戶」,並重新輸入學員憑證。

工作 2:存取使用者身分資訊

應用程式受到 IAP 保護後,即可使用 IAP 在網頁要求標頭提供的身分資訊。在這個步驟,應用程式將取得已登入使用者的電子郵件地址,以及 Google Identity 服務指派給該使用者的永久專屬使用者 ID。系統會在歡迎頁面向使用者顯示這項資料。

  • 在 Cloud Shell 中,切換至以下步驟的資料夾:
cd ~/user-authentication-with-iap/2-HelloUser

部署至 Cloud Run

  1. 將應用程式部署至 Cloud Run:
gcloud run deploy user-auth-lab --source . --region={{{ project_0.default_region | "REGION" }}}
  1. 出現提示訊息時,輸入 Y 繼續操作。

部署作業應該會在幾分鐘內完成。等待過程中,您可以按照下方說明檢查應用程式檔案。

點選「Check my progress」,確認目標已達成。存取使用者身分資訊

檢查應用程式檔案

  1. 在 Cloud Shell 使用 cat 指令,查看主要應用程式檔案:
cat main.py
  1. 查看範本檔案,瞭解使用者資料的顯示方式:
cat templates/index.html

這個資料夾包含的檔案與先前部署的應用程式 1-HelloWorld 是同一組,但其中兩個檔案經過變更:main.pytemplates/index.html。該程式已改為檢索 IAP 在要求標頭中提供的使用者資訊,且範本現在也會顯示該項資料。

main.py 中,有兩行程式碼可取得 IAP 提供的身分資料:

user_email = request.headers.get('X-Goog-Authenticated-User-Email') user_id = request.headers.get('X-Goog-Authenticated-User-ID')

X-Goog-Authenticated-User- 標頭是由 IAP 提供,名稱不區分大小寫,您可以依需求全部小寫或大寫。render_template 語句現在包含這些值,因此可以顯示:

page = render_template('index.html', email=user_email, id=user_id)

index.html 範本可以將名稱加上雙大括號來顯示這些值:

Hello, {{ email }}! Your persistent ID is {{ id }}.

如您所見,提供的資料包含 accounts.google.com 前置字串,顯示資訊來源。應用程式可視需要移除半形冒號及其前面所有內容,以取得原始值。

測試更新後的應用程式

  1. 擷取應用程式的網址:
gcloud run services describe user-auth-lab --region={{{ project_0.default_region | "REGION" }}} --format='value(status.url)'
  1. 在新的瀏覽器分頁開啟網址。
  2. 視需要重新整理頁面,查看您的電子郵件地址和永久 ID。

停用 IAP

如果 IAP 遭停用或略過,對這個應用程式有什麼影響?讓我們停用 IAP 來看看結果。

  1. 在 Cloud 控制台視窗,依序點選「導覽選單」圖示 >「安全性」>「Identity-Aware Proxy」
  2. 點選 Cloud Run 服務 (例如 user-auth-lab) 旁的「IAP」切換鈕,選擇停用「IAP」
  3. 點選「允許公開存取」
  4. 重新整理應用程式網頁。您應該會看到相同的頁面,但現在未顯示任何使用者資訊。

應用程式目前未受到保護,因此使用者可發送看似透過 IAP 傳遞的網頁要求。舉例來說,您可以在 Cloud Shell 執行下列 curl 指令 (將 <your-url-here> 改成應用程式網址):

curl -X GET YOUR_URL -H "X-Goog-Authenticated-User-Email: totally fake email"

網頁內容將顯示於指令列,呈現偽造的電子郵件地址:

<!doctype html> <html> <head> <title>IAP Hello User</title> </head> <body> <h1>Hello World</h1> <p> Hello, totally fake email! Your persistent ID is None. </p> <p> This is step 2 of the User Authentication with IAP</em> codelab. </p> </body> </html>

應用程式無法知道 IAP 是否遭到停用或略過。因此,針對可能存在潛在風險的情況,加密編譯驗證提供了解決方案。

工作 3:採用加密編譯驗證

如果 IAP 可能遭停用或略過,您的應用程式可確認收到的身分資訊是否有效。方法是使用 IAP 新增的第三個網頁要求標頭,名稱為 X-Goog-IAP-JWT-Assertion。該標頭的值是以加密編譯方式簽署的物件,也包含使用者身分資料。應用程式可驗證數位簽章,並使用該物件中提供的資料確保這個簽章是出自 IAP,未經修改。

數位簽章驗證需要幾個額外的步驟,例如檢索最新的 Google 公開金鑰。您可以根據使用者可能停用或略過 IAP 的可能性,以及應用程式的敏感度,決定應用程式是否需要這些額外步驟。

  • 在 Cloud Shell 中,切換至以下步驟的資料夾:
cd ~/user-authentication-with-iap/3-HelloVerifiedUser

部署至 Cloud Run

  1. 針對受 IAP 保護的 Cloud Run 服務,找出已簽署標頭的 JWT 目標對象用戶端 ID:

    • 前往 Cloud 控制台的「Identity-Aware Proxy」頁面。

    • 在清單中找到「user-auth-lab」

    • 注意:您可能需要用資源資料表底部的水平捲軸向右捲動,才能看到最右側的「動作」欄。

    • 在「動作」下方,點選資源旁邊的直向三點圖示按鈕,然後選取「取得 JWT 目標對象代碼」

    • 在隨即顯示的互動視窗中,複製顯示的用戶端 ID 字串並貼到文字編輯器,然後選取「確定」

  2. 將應用程式部署至 Cloud Run,並使用剛才複製的用戶端 ID 值設定 IAP_AUDIENCE 環境變數:

gcloud run deploy user-auth-lab --source . --set-env-vars IAP_AUDIENCE="YOUR_CLIENT_ID" --region={{{ project_0.default_region | "REGION" }}}
  1. 出現提示訊息時,輸入 Y 繼續操作。

部署作業應該會在幾分鐘內完成。等待過程中,您可以按照下方說明檢查應用程式檔案。

點選「Check my progress」,確認目標已達成。 採用加密編譯驗證

檢查應用程式檔案

  1. 在 Cloud Shell 使用 cat 指令,查看新的驗證輔助檔案:
cat auth.py
  1. 查看主要應用程式檔案,瞭解使用者驗證方法的整合情形:
cat main.py

這個資料夾包含的檔案與 2-HelloUser 是同一組,但其中有兩個檔案經過變更,並新增了一個檔案。新檔案是 auth.py,提供 user() 方法來檢索並驗證以加密編譯方式簽署的身分資訊。已變更的檔案是 main.pytemplates/index.html,這兩個檔案目前採用上述方法得出的結果。此外,系統也會顯示在上次部署作業中發現的未驗證標頭,進行比較。

  • 新功能主要位於 user() 函數中:
def user(): assertion = request.headers.get('X-Goog-IAP-JWT-Assertion') if assertion is None: return None, None info = jwt.decode( assertion, keys(), algorithms=['ES256'], audience=audience() ) return info['email'], info['sub']

assertion 是指特定要求標頭中提供的以加密編譯方式簽署的資料。該程式碼會使用程式庫驗證並解碼該資料。驗證作業採用 Google 提供的公開金鑰檢查相關簽署資料,並瞭解資料目標對象 (基本上是指受到保護的 Google Cloud 專案)。輔助函式 keys()audience() 會收集並傳回這些值。

簽署物件包含我們需要的兩種資料:經過驗證的電子郵件地址和專屬 ID 值 (以 sub 列出,表示訂閱者,位於標準欄位)。

這樣步驟 3 就完成了。

測試加密編譯驗證

部署完成後,可以輸入下列指令來取得應用程式網址:

gcloud run services describe user-auth-lab --region={{{ project_0.default_region | "REGION" }}} --format='value(status.url)'
  1. 在新的瀏覽器分頁開啟網址。
  2. 提醒您,先前的步驟已停用 IAP,因此應用程式不會提供 IAP 資料。請確認頁面中顯示的電子郵件地址和 ID 為「None」
  3. 前往控制台的「Identity-Aware Proxy」頁面。
  4. 點選 Cloud Run 服務旁的「IAP」切換鈕,重新啟用 IAP。
  5. 點選「啟用」確認操作。
  6. 在 Cloud Shell 執行下列指令,授權 IAP 服務代理叫用 Cloud Run 服務:
gcloud run services add-iam-policy-binding user-auth-lab \ --member="serviceAccount:service-$(gcloud projects describe {{{project_0.project_id}}} --format='value(projectNumber)')@gcp-sa-iap.iam.gserviceaccount.com" \ --role="roles/run.invoker" \ --region={{{ project_0.default_region | "REGION" }}}
  1. 重新整理應用程式頁面,確認經加密編譯簽署的電子郵件地址和使用者 ID 現在已正確顯示,並且通過驗證。

請注意,這個驗證方法提供的電子郵件地址不含 accounts.google.com: 前置字串。

如果停用或略過 IAP,經過驗證的資料會遺失或失效,原因是不具備有效簽章,除非是由 Google 私密金鑰持有者所建立的資料。

恭喜!

您已部署 Cloud Run 服務。首先,您將應用程式存取權限縮於選定的使用者。接著,您檢索並顯示 IAP 允許應用程式存取權的使用者身分,也瞭解若停用或略過 IAP,該資訊可能會如何遭到冒用。最後,您驗證以加密編碼方式簽署的使用者身分斷言,這類斷言無法假冒。

後續步驟/瞭解詳情

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期:2026 年 5 月 28 日

實驗室上次測試日期:2026 年 5 月 28 日

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

Use private browsing

  1. Copy the provided Username and Password for the lab
  2. Click Open console in private mode

Sign in to the Console

  1. Sign in using your lab credentials. Using other credentials might cause errors or incur charges.
  2. Accept the terms, and skip the recovery resource page
  3. Don't click End lab unless you've finished the lab or want to restart it, as it will clear your work and remove the project

This content is not currently available

We will notify you via email when it becomes available

Great!

We will contact you via email if it becomes available

One lab at a time

Confirm to end all existing labs and start this one

Use private browsing to run the lab

Using an Incognito or private browser window is the best way to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.

Complete this quick step to start your lab.