1. 准备工作
此 Codelab 介绍了如何设置 OAuth 客户端,以及如何使用 Google Cloud 控制台为项目的主账号授予 Identity and Access Management (IAM) 角色。
前提条件
- 能够浏览 Cloud 控制台。
学习内容
- 如何将应用设置为 OAuth 客户端。
- 如何使用 Identity and Access Management (IAM) 限制对应用的访问权限。
所需条件
- 新型网络浏览器,例如 Google Chrome。
- 一个 Google 账号,例如 Gmail 账号或 Google Workspace 账号。
- 拥有 Cloud BIlling 账号或信用卡的访问权限,以用于注册免费试用。
2. 创建 Google Cloud 项目并设置结算账号
- 登录 Cloud 控制台。
- 转到项目选择器页面。
- 点击 Create project。
- 为项目命名,然后记下生成的项目 ID。
- 根据需要修改其他字段。
- 点击创建。
- 如果您尚未使用 Google Cloud 资源,请在 Cloud 控制台中启用结算功能。
虽然此 Codelab 应该不会产生太多费用,但如果有任何费用,请按照清理部分中的说明关停资源,并避免此 Codelab 以外的费用。请注意,Google Cloud 的新用户有资格获享$300 的免费试用。
3. 通过 IAM 授予访问权限
IAM 允许您向用户授予项目和资源基于角色的访问权限。在本部分中,您将使用 IAM 向用户授予项目中多个角色的访问权限。
启用 IAM 和 Resource Manager API
- 在 Cloud 控制台的导航菜单中,点击 API 和服务。
- 选择启用 API 和服务。
- 搜索 IAM API 并将其启用。
- 搜索
Resource Manager API,然后启用它。
通过 IAM 授予角色
- 前往 IAM 页面。
项目的名称会显示在项目选择器中。项目选择器会显示您所在的项目。
如果您没有看到项目名称,请使用项目选择器进行选择。
- 点击添加。
- 输入主账号的电子邮件地址。
- 从选择角色下拉菜单中,选择日志记录 >日志查看器 >保存。
- 验证 IAM 页面上是否列出了主账号和角色。
大功告成,您向主账号授予了身份和访问权限管理角色!
观察 Identity and Access Management 角色的影响
在本部分中,您将验证获得角色的主账号是否可以访问预期的 Cloud 控制台页面:
- 将以下网址发送给获得该角色的主账号:
https://console.cloud.google.com/logs?project=PROJECT_ID
- 验证主账号是否可以访问和查看该网址。
主账号无法访问尚未获得相应角色的 Cloud 控制台页面。而是会看到类似于以下示例的错误消息:
You don't have permissions to view logs.
向同一主账号授予其他角色
- 在 Cloud 控制台中,前往 IAM 页面。
- 找到您要向其授予其他角色的主账号,然后点击修改
。 - 在修改权限窗格中,点击添加其他角色。
- 在选择角色下拉菜单中,点击项目 >查看器 >保存。
主账号现在拥有第二个身份和访问权限管理角色。
撤消授予主账号的角色
- 找到要撤消其角色的主账号,然后点击修改。
- 在修改权限窗格中,点击您之前授予主账号的两个角色旁边的
。 - 点击保存。
您从这两个角色中移除了主账号。如果此人尝试查看之前可以访问的任何页面,都会看到错误消息。
4. 清理
为避免系统因本 Codelab 中使用的资源向您的 Google Cloud 账号收取费用,请执行以下操作:
- 在 Cloud 控制台中,转到管理资源页面。
- 在项目列表中,选择要删除的项目,然后点击删除。
- 在对话框中输入项目 ID,然后点击关停以删除项目。
5. 恭喜
恭喜!您已了解如何设置 OAuth 客户端,以及如何使用 Cloud 控制台向主账号授予项目的身份和访问权限管理角色。