透過 IAM 授予專案存取權

1. 事前準備

本程式碼研究室將說明如何設定 OAuth 用戶端,以及如何使用 Google Cloud 控制台為專案主體授予 Identity and Access Management (IAM) 角色。

必要條件

  • 可瀏覽 Cloud 控制台。

課程內容

  • 如何將應用程式設為 OAuth 用戶端。
  • 如何使用 Identity and Access Management (IAM) 限制應用程式的存取權。

軟硬體需求

2. 建立 Google Cloud 專案並設定帳單帳戶

  1. 登入 Cloud 控制台
  1. 前往「專案選取器」頁面。
  2. 按一下 [Create Project]
  3. 為專案命名,並記下系統產生的專案 ID。
  4. 視需要編輯其他欄位。
  1. 按一下「建立」
  2. 如果您尚未在 Cloud 控制台中啟用計費功能,請先完成這項操作,以便使用 Google Cloud 資源。

雖然本程式碼研究室不會耗用大量資源,但請按照「清除」一節中的操作說明,關閉資源並避免費用在這個程式碼研究室以外的資源上。請注意,Google Cloud 的新使用者符合免費試用$300 美元的資格。

3. 透過 IAM 授予存取權

IAM 可讓您將以角色為主的使用者,授予專案和資源的存取權。在本節中,您將使用 IAM 授予使用者專案幾個角色的存取權,

啟用 IAM and Resource Manager API

  1. 在 Cloud 控制台的導覽選單中,按一下「API 與」服務

Cloud 控制台的導覽選單,顯示「API」和服務選項。

  1. 選取「啟用 API 和服務」

「啟用 API 和服務」選項

  1. 搜尋並啟用 IAM API。
  2. 搜尋並啟用 Resource Manager API

透過 IAM 授予角色

  1. 前往「IAM」(身分與存取權管理) 頁面

專案名稱會顯示在專案選取器中。專案選取器會指出您所在的專案。

顯示專案名稱選取器的 IAM 頁面。

如果找不到專案名稱,請使用專案選取器來選取。

  1. 按一下 [新增]。
  2. 輸入主體的電子郵件地址。
  3. 從「請選擇角色」下拉式選單中,依序選取「記錄」>記錄檢視器 >節省

IAM 頁面顯示在畫面上

  1. 確認「IAM」IAM頁面已列出主體和角色。

大功告成,您已向主體授予身分與存取權管理角色!

觀察身分與存取權管理角色的效果

在本節中,您將驗證獲得角色的主體可以存取預期的 Cloud 控制台頁面:

  1. 將這個網址傳送給您授予角色的主體:

https://console.cloud.google.com/logs?project=PROJECT_ID

  1. 請確認主體可以存取及查看網址。

主體尚未取得適當角色,無法存取 Cloud 控制台頁面。而是看到類似下方的錯誤訊息:

You don't have permissions to view logs.

將其他角色授予同一主體

  1. 前往 Cloud 控制台的「IAMIAM」(身分與存取權管理) 頁面
  2. 找出要授予其他角色的主體,然後按一下「編輯」 圖示 d489bd059474ae59.png
  3. 在「編輯權限」窗格中,按一下 [新增其他角色]

「Edit permissions」(編輯權限) 窗格顯示「Add another role」(新增其他角色) 選項。

  1. 在「請選擇角色」下拉式選單中,按一下「專案」>檢視者 >節省

「Edit」權限窗格顯示角色選項。

主體現在具備第二個身分與存取權管理角色。

撤銷已授予主體的角色

  1. 找出要撤銷角色的主體,然後按一下「Edit」(編輯)d489bd059474ae59.png
  2. 在「編輯權限」窗格中,按一下先前授予主體的兩個角色旁的 17033682fbdcca9c.png
  3. 按一下 [儲存]

您已經將主體從兩個角色中移除。如果該使用者嘗試檢視先前可存取的任何網頁,系統會顯示錯誤訊息。

4. 清除所用資源

如要避免系統向您的 Google Cloud 帳戶收取這個程式碼研究室所用資源的費用,請按照下列步驟操作:

  1. 在 Cloud 控制台中,前往「管理資源頁面。
  2. 在專案清單中選取要刪除的專案,然後按一下「Delete」(刪除)
  3. 在對話方塊中輸入專案 ID,然後按一下「Shut down」(關閉) 即可刪除專案。

5. 恭喜

恭喜!您已瞭解如何設定 OAuth 用戶端,以及如何透過 Cloud 控制台將身分和存取權管理角色授予專案主體。