GSP064

總覽

Google Cloud 的 Identity and Access Management (IAM) 服務可用來建立及管理 Google Cloud 資源的權限。Cloud IAM 將 Google Cloud 服務的存取控管整合至單一系統，提供一致的操作方式。

在這個實驗室中，您將使用 2 組不同的憑證登入，透過 Google Cloud「專案擁有者」和「檢視者」角色，體驗授予和撤銷權限的控管機制。

課程內容

• 將角色指派給第二位使用者
• 移除與 Cloud IAM 相關的指派角色

事前準備

這是入門等級的實驗室，即使幾乎或完全沒有 Cloud IAM 相關知識，也能參加。熟悉 Cloud Storage 有助於完成本實驗室任務，但並非必要條件。請務必備妥 .txt 或 .html 格式的檔案。如想體驗更進階的 Cloud IAM 實作練習，請參考下列 Google Skills 實驗室：IAM 自訂角色。

準備好後，請向下捲動頁面，並按照步驟設定實驗室環境。

設定和需求

如前所述，這個實驗室會提供兩組憑證，用來說明 IAM 政策及特定角色擁有的權限。

實驗室左側的「Lab Connection」面板上會列出像下圖這樣的憑證：

請注意，一共有「兩組」使用者名稱：Username 1 和 Username 2。這些名稱代表使用者在 Cloud IAM 中的身分，分別有不同的存取權限。這些「角色」限定了您在分派到的專案中，可以或不能對 Google Cloud 資源進行的操作。

以第一位使用者的身分登入 Cloud 控制台

1. 點選「Open Google Console」按鈕，系統會開啟新瀏覽器分頁。如果系統要求您選擇帳戶，請點選「使用其他帳戶」。
2. Google Cloud 登入頁面會隨即開啟。登入頁面開啟後，複製 Username 1 憑證 (格式看起來會像 googlexxxxxx_student@qwiklabs.net 這樣)，貼到「電子郵件地址或電話號碼」欄位，然後點選「下一步」。
3. 複製「Lab Connection」面板中的密碼，然後貼到 Google 登入畫面的密碼欄位。
4. 點選「下一步」，然後接受服務條款。Cloud 控制台會隨即開啟，請閱讀服務條款，然後點選「同意並繼續」。

以第二位使用者的身分登入 Cloud 控制台

1. 再次點選「Open Google Console」按鈕，系統會開啟新瀏覽器分頁。如果系統要求您選擇帳戶，請點選「使用其他帳戶」。
2. Google Cloud 登入頁面會隨即開啟。複製 Username 2 憑證 (格式看起來會像 googlexxxxxx_student@qwiklabs.net 這樣)，貼到「電子郵件地址或電話號碼」欄位，然後點選「下一步」。
3. 複製「Lab Connection」面板中的密碼，然後貼到 Google 登入畫面的密碼欄位。
4. 點選「下一步」，然後接受服務條款。Cloud 控制台會隨即開啟，請閱讀服務條款，然後點選「同意並繼續」。

瀏覽器現在應該會有兩個開啟中的 Cloud 控制台分頁，一個登入身分是 Username 1，另一個則是 Username 2。

在瀏覽器分頁中查看或重設使用者

有時候瀏覽器分頁中的使用者會遭到覆寫，或者您有可能不清楚是哪位使用者登入哪個瀏覽器分頁。

如要查看登入瀏覽器分頁的使用者身分，請將滑鼠游標懸停在顯示圖片上，即可查看登入該瀏覽器分頁的使用者名稱。

重設登入瀏覽器分頁的使用者：

1. 依序點選顯示圖片和「登出」，即可登出。
2. 在「Lab Connection」面板中，點選「Open Google Console」，然後以適用的使用者名稱與密碼重新登入。

工作 1：熟悉 IAM 控制台操作和專案層級角色

1. 回到 Username 1 Cloud 控制台頁面。
2. 依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」，即可進入「IAM 與管理」控制台。
3. 點選頁面頂端的「+授予存取權」按鈕。
4. 在「選取角色」部分，向下捲動到「基本」，並將滑鼠游標停在上面。

共有三個角色：

• 編輯者
• 擁有者
• 檢視者

這些是 Google Cloud 的「原始角色」。原始角色設定的是專案層級的權限，除非另外指定，否則這些角色將控管所有 Google Cloud 服務的存取權與管理作業。

下表節錄 Google Cloud IAM 文章中的基本角色定義，簡單說明瀏覽者、檢視者、編輯者和擁有者的角色權限：

角色名稱	權限
roles/viewer	不會影響狀態的唯讀操作權限，例如檢視 (但不修改) 現有的資源或資料。
roles/editor	所有檢視者權限，以及會修改狀態的操作權限 (像是變更現有的資源)。
roles/owner	所有的編輯者權限及下列操作的權限： 管理專案的角色和權限，以及專案內的所有資源。 設定專案帳單。

由於您可以管理這個專案的角色和權限，Username 1 即具備專案擁有者權限。

4. 點選「取消」，退出「新增主體」面板。

瞭解編輯者角色

現在切換到 Username 2 控制台。

1. 依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」，前往「IAM 與管理」控制台。

2. 在表格中搜尋 Username 1 和 Username 2，查看這兩個使用者的角色。角色會分別顯示在 Username 1 和 Username 2 所在的資料列中，位於名稱的右邊。

您應該會看到：

• Username 2 獲派「檢視者」角色。
• 畫面頂端的「+授予存取權」按鈕顯示為灰色，如果您嘗試點選按鈕，則會顯示訊息：「權限不足，無法執行這項操作。必要權限：resource manager.projects.setIamPolicy」。

這個例子說明了 IAM 角色會影響使用者在 Google Cloud 中的操作權限。

3. 切換回 Username 1 控制台，進行下一步驟。

工作 2：準備好用來測試存取權的 Cloud Storage bucket

請確認目前位於 Username 1 Cloud 控制台。

建立 bucket

1. 建立具備專屬名稱的 Cloud Storage bucket。在 Cloud 控制台中，依序選取「導覽選單」>「Cloud Storage」>「Bucket」。

2. 點選「+建立」。

注意：如果建立 bucket 時收到權限錯誤訊息，請先登出，然後使用 Username 1 憑證重新登入。

3. 更新下列欄位，其他欄位則一概保留預設值：

屬性	值
名稱：	輸入全域不重複名稱 (請自行取名！)，然後點選「繼續」。
位置類型：	多區域

請記下 bucket 名稱，後續步驟會用到。

4. 點選「建立」。

5. 如果出現「系統會禁止公開存取」提示訊息，請點選「確認」。

注意：如果建立 bucket 時收到權限錯誤訊息，請先登出，然後使用 Username 1 憑證重新登入。

上傳範例檔案

1. 在「bucket 詳細資料」頁面上，點選「上傳檔案」。

2. 在電腦中找到要使用的檔案，任何文字檔或 html 檔案都可以。

3. 找到該檔案所在的資料行，點選行末的三點圖示，然後按一下「重新命名」。

4. 將檔案重新命名為 sample.txt。

5. 點選「重新命名」。

點選「Check my progress」，確認目標已達成。

建立 bucket 並上傳範例檔案

驗證專案檢視者權限

1. 切換到 Username 2 控制台。

2. 在控制台中，依序選取「導覽選單」>「Cloud Storage」>「Bucket」。請確認該使用者能否看到 bucket。

Username 2 獲派的角色是「檢視者」，因此只能執行不影響狀態的唯讀操作。本範例說明了該權限的作用：使用者可以查看自己有權存取的 Google Cloud 專案中的 Cloud Storage bucket 和檔案。

工作 3：移除專案存取權

切換到 Username 1 控制台。

移除 Username 2 的專案檢視者權限

1. 依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」，然後點選與 Username 2 同一列，位於其右方的「鉛筆」圖示。

注意：您可能需要拉寬畫面，才能看到「鉛筆」圖示。

2. 點選角色名稱旁的「垃圾桶」圖示，即可移除 Username 2 的專案檢視者權限。完成後再點選「儲存」。

此時您會發現，該使用者已從成員清單中消失，沒有存取權了。

注意：您所做的變更最多可能需要 80 秒才會套用生效。如要進一步瞭解 Google Cloud IAM，請參閱 Google Cloud IAM 資源說明文件的常見問題。

確認 Username 2 已沒有存取權

1. 切換到 Username 2 Cloud 控制台。確認您仍是使用 Username 2 的憑證登入，且在權限撤銷後沒有登出專案。如果登出，請使用正確的憑證重新登入。

2. 依序選取「導覽選單」>「Cloud Storage」>「Bucket」，回到 Cloud Storage 中。

您應該會看到權限錯誤訊息。

注意：如前所述，撤銷權限的操作最多可能需要 80 秒才會生效。如未看到權限錯誤訊息，請稍候 2 分鐘，再重新整理控制台。

點選「Check my progress」，確認目標已達成。

移除專案存取權

工作 4：新增 Cloud Storage 權限

1. 複製「Lab Connection」面板中的 Username 2 名稱。

2. 切換到 Username 1 控制台。確認您仍是使用 Username 1 的憑證登入。如果登出，請使用正確的憑證重新登入。

3. 在控制台中，依序選取「導覽選單」>「IAM 與管理」>「身分與存取權管理」。

4. 按一下「+授予存取權」按鈕，並將 Username 2 名稱貼到「新增主體」欄位。

5. 在「選取角色」欄位中，從下拉式選單中依序選取「Cloud Storage」>「Storage 物件檢視者」。

6. 點選「儲存」。

驗證存取權

1. 切換到 Username 2 控制台。您還是會在 Storage 頁面中。

Username 2 沒有專案檢視者的角色，因此在控制台中看不到專案或其資源，但有 Cloud Storage 的特定存取權，也就是「Storage 物件檢視者」角色。現在來看看！

2. 點選「啟用 Cloud Shell」，開啟 Cloud Shell 指令列。如果出現提示訊息，請點選「繼續」。

3. 開啟 Cloud Shell 工作階段，然後輸入下列指令，將 [YOUR_BUCKET_NAME]　改成您先前建立的 bucket 名稱：

gsutil ls gs://[YOUR_BUCKET_NAME]

輸出內容應會類似以下內容：

gs://[YOUR_BUCKET_NAME]/sample.txt 注意：如果您看到 AccessDeniedException，請等待一分鐘，然後再執行上述指令。

4. 此時您已把 Cloud Storage bucket 的檢視權限授予 Username 2。

點選「Check my progress」，確認目標已達成。

新增 Cloud Storage 權限

恭喜！

在這個實驗室中，您練習了如何授予及撤銷使用者的 Cloud IAM 角色。

後續步驟/瞭解詳情

這個實驗室也包含在「Qwik Start」系列中，這些實驗室可帶您一窺 Google Cloud 的眾多功能。歡迎在 Google Skills 目錄搜尋「Qwik Start」，看看接下來要參加哪個實驗室！

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2024 年 4 月 15 日

實驗室上次測試日期：2024 年 4 月 8 日

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。