Before you begin
- Labs create a Google Cloud project and resources for a fixed time
- Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
- On the top left of your screen, click Start lab to begin
Deploy a Cloud Run service
/ 20
Enable and add policy to IAP
/ 30
Access User Identity Information
/ 25
Use Cryptographic Verification
/ 25
Deploy a Cloud Run service
/ 20
Enable and add policy to IAP
/ 30
Access User Identity Information
/ 25
Use Cryptographic Verification
/ 25
在本實驗室中,您將透過 Cloud Run 建構簡單的網頁應用程式,並瞭解如何使用 Identity-Aware Proxy (IAP) 限制應用程式存取權,以及向應用程式提供使用者身分資訊。這個應用程式將會:
在本實驗室中,您將瞭解如何執行下列工作:
若您具備 Python 程式語言的基本知識,學習過程將能事半功倍。
本實驗室主要聚焦於 Cloud Run 和 IAP,與主題無關的概念和程式碼區塊僅會簡單帶過,供您直接複製及貼上。
網頁應用程式往往需要驗證使用者身分,而這通常得在應用程式中特別撰寫程式碼。如果是 Google Cloud 應用程式,則可將這類工作交由 Identity-Aware Proxy 服務處理。若只需要限制特定使用者的存取權,應用程式無須進行任何變更。如果應用程式需要知道使用者的身分 (例如為了將使用者偏好保留於伺服器端),則 Identity-Aware Proxy 可運用最少的應用程式程式碼提供這項資訊。
Identity-Aware Proxy (IAP) 是一項 Google Cloud 服務,可攔截傳送至應用程式的網頁要求,使用 Google Identity 服務對發出請求的使用者進行身分驗證,並只允許您授權的使用者所傳送的要求。此外,這項功能還能修改要求標頭,加入已驗證使用者相關資訊。
請詳閱以下操作說明。實驗室活動會計時,且中途無法暫停。點選「Start Lab」後就會開始計時,顯示可使用 Google Cloud 資源的時間。
您將在真正的雲端環境完成實作實驗室活動,而不是模擬或示範環境。為此,我們會提供新的暫時憑證,供您在實驗室活動期間登入及存取 Google Cloud。
為了順利完成這個實驗室,請先確認:
按一下「Start Lab」按鈕。如果實驗室會產生費用,請在開啟的對話方塊中選取付款方式。右側的「Lab setup and access」面板會顯示下列項目:
請注意,實驗室計時器位於頁面頂端附近,會顯示剩餘時間。
按一下「Open Google Cloud console」。如果使用 Chrome 瀏覽器,也可以按一下滑鼠右鍵,選取「在無痕視窗中開啟連結」。
接著,實驗室會啟動相關資源,並開啟另一個分頁,顯示「登入」頁面。
提示:您可以在不同的視窗並排開啟分頁。
如有必要,請將下方的 Username 貼到「登入」對話方塊。
您也可以在「Lab setup and access」面板找到「Username」。
點選「下一步」。
複製下方的 Password,並貼到「歡迎使用」對話方塊。
您也可以在「Lab setup and access」面板找到「Password」。
點選「下一步」。
繼續點按後續頁面:
Google Cloud 控制台稍後會在這個分頁開啟。
Cloud Shell 是搭載多項開發工具的虛擬機器,提供永久的 5 GB 主目錄,而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權,方便您使用 Google Cloud 資源。
點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示 。
系統顯示視窗時,請按照下列步驟操作:
連線建立完成即代表已通過驗證,而且專案已設為您的 Project_ID:
gcloud 是 Google Cloud 的指令列工具,已預先安裝於 Cloud Shell,並支援 Tab 鍵自動完成功能。
輸出內容:
輸出內容:
gcloud 的完整說明,請前往 Google Cloud 參閱 gcloud CLI 總覽指南。
按一下 Cloud Shell 中的指令列區域,即可輸入指令。
從公開儲存空間 bucket 下載程式碼,然後切換至程式碼資料夾:
這個資料夾包含本實驗室每個步驟的子資料夾。您必須切換至正確的資料夾才能執行每個步驟。
這是以 Python 編寫的 Cloud Run 服務,只會顯示「Hello, world」歡迎頁面。我們將部署並測試應用程式,然後使用 IAP 限制存取權。
1-HelloWorld 子資料夾。應用程式程式碼位於 main.py 檔案中。此程式使用 Flask 網頁框架,透過範本內容回應網頁要求。該範本檔案位於 templates/index.html,在這個步驟中僅包含純 HTML。第二個範本檔案位於 templates/privacy.html,提供簡略的隱私權政策範例。
另外還有一個 requirements.txt 檔案,當中列出應用程式使用的所有非預設 Python 程式庫。
您可以使用 cat 指令在殼層中列出每個檔案,如下所示:
或者,您也能點選 Cloud Shell 工具列的「開啟編輯器」鉛筆圖示,啟動 Cloud Shell 程式碼編輯器並檢查程式碼。
在這個步驟中,您不需要變更任何檔案。
部署作業會在幾分鐘內完成,隨後將顯示內含服務網址的訊息。
點選「Check my progress」,確認目標已達成。
前往 Google Cloud 控制台,依序點選「導覽選單」圖示 >「安全性」>「Identity-Aware Proxy」。
點選「啟用 API」。
點選「前往 Identity-Aware Proxy」。
點選「user-auth-lab」旁的「IAP」欄切換鈕來啟用 IAP。
點選「啟用」確認操作。
開啟新的瀏覽器分頁,然後前往應用程式網址,您將看見「使用 Google 帳戶登入」頁面。
使用您用來登入控制台的學員帳戶憑證登入。
畫面會顯示拒絕存取。這表示您已成功使用 IAP 保護應用程式,但尚未授權任何使用者帳戶。
返回控制台的「Identity-Aware Proxy」頁面。
勾選 user-auth-lab Cloud Run 服務旁的核取方塊,開啟右側的詳細資料側欄。
點選「新增主體」。
在「新主體」部分,輸入您的學員電子郵件地址。
在「選取角色」部分,依序選取「Cloud IAP」>「受 IAP 保護的網頁應用程式使用者」。
點選「儲存」。 頁面底部會顯示「已更新政策」訊息。
返回應用程式,然後重新載入頁面。您已使用授權的帳戶登入,現在應該能看到網頁應用程式。
點選「Check my progress」,確認目標已達成。
如果仍看到存取遭拒頁面,請清除 IAP 登入 Cookie:
/_gcp_iap/clear_login_cookie (例如 https://user-auth-lab-[random-hash].run.app/_gcp_iap/clear_login_cookie),然後開啟連結。應用程式受到 IAP 保護後,即可使用 IAP 在網頁要求標頭提供的身分資訊。在這個步驟,應用程式將取得已登入使用者的電子郵件地址,以及 Google Identity 服務指派給該使用者的永久專屬使用者 ID。系統會在歡迎頁面向使用者顯示這項資料。
部署作業應該會在幾分鐘內完成。等待過程中,您可以按照下方說明檢查應用程式檔案。
點選「Check my progress」,確認目標已達成。
cat 指令,查看主要應用程式檔案:這個資料夾包含的檔案與先前部署的應用程式 1-HelloWorld 是同一組,但其中兩個檔案經過變更:main.py 和 templates/index.html。該程式已改為檢索 IAP 在要求標頭中提供的使用者資訊,且範本現在也會顯示該項資料。
在 main.py 中,有兩行程式碼可取得 IAP 提供的身分資料:
X-Goog-Authenticated-User- 標頭是由 IAP 提供,名稱不區分大小寫,您可以依需求全部小寫或大寫。render_template 語句現在包含這些值,因此可以顯示:
index.html 範本可以將名稱加上雙大括號來顯示這些值:
如您所見,提供的資料包含 accounts.google.com 前置字串,顯示資訊來源。應用程式可視需要移除半形冒號及其前面所有內容,以取得原始值。
如果 IAP 遭停用或略過,對這個應用程式有什麼影響?讓我們停用 IAP 來看看結果。
user-auth-lab) 旁的「IAP」切換鈕,選擇停用「IAP」。應用程式目前未受到保護,因此使用者可發送看似透過 IAP 傳遞的網頁要求。舉例來說,您可以在 Cloud Shell 執行下列 curl 指令 (將 <your-url-here> 改成應用程式網址):
網頁內容將顯示於指令列,呈現偽造的電子郵件地址:
應用程式無法知道 IAP 是否遭到停用或略過。因此,針對可能存在潛在風險的情況,加密編譯驗證提供了解決方案。
如果 IAP 可能遭停用或略過,您的應用程式可確認收到的身分資訊是否有效。方法是使用 IAP 新增的第三個網頁要求標頭,名稱為 X-Goog-IAP-JWT-Assertion。該標頭的值是以加密編譯方式簽署的物件,也包含使用者身分資料。應用程式可驗證數位簽章,並使用該物件中提供的資料確保這個簽章是出自 IAP,未經修改。
數位簽章驗證需要幾個額外的步驟,例如檢索最新的 Google 公開金鑰。您可以根據使用者可能停用或略過 IAP 的可能性,以及應用程式的敏感度,決定應用程式是否需要這些額外步驟。
針對受 IAP 保護的 Cloud Run 服務,找出已簽署標頭的 JWT 目標對象用戶端 ID:
前往 Cloud 控制台的「Identity-Aware Proxy」頁面。
在清單中找到「user-auth-lab」。
注意:您可能需要用資源資料表底部的水平捲軸向右捲動,才能看到最右側的「動作」欄。
在「動作」下方,點選資源旁邊的直向三點圖示按鈕,然後選取「取得 JWT 目標對象代碼」。
在隨即顯示的互動視窗中,複製顯示的用戶端 ID 字串並貼到文字編輯器,然後選取「確定」。
將應用程式部署至 Cloud Run,並使用剛才複製的用戶端 ID 值設定 IAP_AUDIENCE 環境變數:
部署作業應該會在幾分鐘內完成。等待過程中,您可以按照下方說明檢查應用程式檔案。
點選「Check my progress」,確認目標已達成。
cat 指令,查看新的驗證輔助檔案:這個資料夾包含的檔案與 2-HelloUser 是同一組,但其中有兩個檔案經過變更,並新增了一個檔案。新檔案是 auth.py,提供 user() 方法來檢索並驗證以加密編譯方式簽署的身分資訊。已變更的檔案是 main.py 和 templates/index.html,這兩個檔案目前採用上述方法得出的結果。此外,系統也會顯示在上次部署作業中發現的未驗證標頭,進行比較。
user() 函數中:assertion 是指特定要求標頭中提供的以加密編譯方式簽署的資料。該程式碼會使用程式庫驗證並解碼該資料。驗證作業採用 Google 提供的公開金鑰檢查相關簽署資料,並瞭解資料目標對象 (基本上是指受到保護的 Google Cloud 專案)。輔助函式 keys() 和 audience() 會收集並傳回這些值。
簽署物件包含我們需要的兩種資料:經過驗證的電子郵件地址和專屬 ID 值 (以 sub 列出,表示訂閱者,位於標準欄位)。
這樣步驟 3 就完成了。
部署完成後,可以輸入下列指令來取得應用程式網址:
請注意,這個驗證方法提供的電子郵件地址不含 accounts.google.com: 前置字串。
如果停用或略過 IAP,經過驗證的資料會遺失或失效,原因是不具備有效簽章,除非是由 Google 私密金鑰持有者所建立的資料。
您已部署 Cloud Run 服務。首先,您將應用程式存取權限縮於選定的使用者。接著,您檢索並顯示 IAP 允許應用程式存取權的使用者身分,也瞭解若停用或略過 IAP,該資訊可能會如何遭到冒用。最後,您驗證以加密編碼方式簽署的使用者身分斷言,這類斷言無法假冒。
協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。
使用手冊上次更新日期:2026 年 5 月 28 日
實驗室上次測試日期:2026 年 5 月 28 日
Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。
This content is not currently available
We will notify you via email when it becomes available
Great!
We will contact you via email if it becomes available
One lab at a time
Confirm to end all existing labs and start this one
Complete this quick step to start your lab.