1. 事前準備
本程式碼研究室將說明如何設定 OAuth 用戶端,以及如何使用 Google Cloud 控制台為專案主體授予 Identity and Access Management (IAM) 角色。
必要條件
- 可瀏覽 Cloud 控制台。
課程內容
- 如何將應用程式設為 OAuth 用戶端。
- 如何使用 Identity and Access Management (IAM) 限制應用程式的存取權。
軟硬體需求
- 使用新式網路瀏覽器,例如 Google Chrome。
- 擁有 Google 帳戶,例如 Gmail 帳戶或 Google Workspace 帳戶。
- 可存取用於申請免費試用的 Cloud BIlling 帳戶或信用卡。
2. 建立 Google Cloud 專案並設定帳單帳戶
- 登入 Cloud 控制台。
- 前往「專案選取器」頁面。
- 按一下 [Create Project]。
- 為專案命名,並記下系統產生的專案 ID。
- 視需要編輯其他欄位。
- 按一下「建立」。
- 如果您尚未在 Cloud 控制台中啟用計費功能,請先完成這項操作,以便使用 Google Cloud 資源。
雖然本程式碼研究室不會耗用大量資源,但請按照「清除」一節中的操作說明,關閉資源並避免費用在這個程式碼研究室以外的資源上。請注意,Google Cloud 的新使用者符合免費試用$300 美元的資格。
3. 透過 IAM 授予存取權
IAM 可讓您將以角色為主的使用者,授予專案和資源的存取權。在本節中,您將使用 IAM 授予使用者專案幾個角色的存取權,
啟用 IAM and Resource Manager API
- 在 Cloud 控制台的導覽選單中,按一下「API 與」服務。
- 選取「啟用 API 和服務」。
- 搜尋並啟用 IAM API。
- 搜尋並啟用
Resource Manager API
。
透過 IAM 授予角色
專案名稱會顯示在專案選取器中。專案選取器會指出您所在的專案。
如果找不到專案名稱,請使用專案選取器來選取。
- 按一下 [新增]。
- 輸入主體的電子郵件地址。
- 從「請選擇角色」下拉式選單中,依序選取「記錄」>記錄檢視器 >節省。
- 確認「IAM」IAM頁面已列出主體和角色。
大功告成,您已向主體授予身分與存取權管理角色!
觀察身分與存取權管理角色的效果
在本節中,您將驗證獲得角色的主體可以存取預期的 Cloud 控制台頁面:
- 將這個網址傳送給您授予角色的主體:
https://console.cloud.google.com/logs?project=PROJECT_ID
- 請確認主體可以存取及查看網址。
主體尚未取得適當角色,無法存取 Cloud 控制台頁面。而是看到類似下方的錯誤訊息:
You don't have permissions to view logs.
將其他角色授予同一主體
- 前往 Cloud 控制台的「IAMIAM」(身分與存取權管理) 頁面。
- 找出要授予其他角色的主體,然後按一下「編輯」 圖示
。
- 在「編輯權限」窗格中,按一下 [新增其他角色]。
- 在「請選擇角色」下拉式選單中,按一下「專案」>檢視者 >節省。
主體現在具備第二個身分與存取權管理角色。
撤銷已授予主體的角色
- 找出要撤銷角色的主體,然後按一下「Edit」(編輯)
。
- 在「編輯權限」窗格中,按一下先前授予主體的兩個角色旁的
。
- 按一下 [儲存]。
您已經將主體從兩個角色中移除。如果該使用者嘗試檢視先前可存取的任何網頁,系統會顯示錯誤訊息。
4. 清除所用資源
如要避免系統向您的 Google Cloud 帳戶收取這個程式碼研究室所用資源的費用,請按照下列步驟操作:
- 在 Cloud 控制台中,前往「管理資源」頁面。
- 在專案清單中選取要刪除的專案,然後按一下「Delete」(刪除)。
- 在對話方塊中輸入專案 ID,然後按一下「Shut down」(關閉) 即可刪除專案。
5. 恭喜
恭喜!您已瞭解如何設定 OAuth 用戶端,以及如何透過 Cloud 控制台將身分和存取權管理角色授予專案主體。