1. 准备工作
本 Codelab 介绍了如何设置 OAuth 客户端,以及如何使用 Google Cloud 控制台向项目的主账号授予 Identity and Access Management (IAM) 角色。
前提条件
- 能够浏览 Cloud 控制台。
学习内容
- 如何将应用设置为 OAuth 客户端。
- 如何使用 Identity and Access Management (IAM) 限制对应用的访问权限。
所需条件
- 新版网络浏览器,例如 Google Chrome。
- 拥有一个 Google 账号,例如 Gmail 账号或 Google Workspace 账号。
- 拥有一个 Cloud Billing 账号,或者拥有一张可用于注册免费试用的信用卡。
2. 创建 Google Cloud 项目并设置结算账号
- 登录 Cloud 控制台。
- 前往项目选择器页面。
- 点击 Create project。
- 为项目命名,然后记下生成的项目 ID。
- 根据需要修改其他字段。
- 点击创建。
- 如果您尚未执行此操作,请在 Cloud 控制台中启用结算功能,以便使用 Google Cloud 资源。
虽然此 Codelab 应该不会产生太多的费用(如果有费用的话),但请按照清理部分中的说明操作,以关停资源并避免产生超出此 Codelab 范围的费用。请注意,Google Cloud 的新用户有资格获享 300 美元免费试用。
3. 使用 IAM 授予访问权限
借助 IAM,您可以向用户授予对项目和资源的基于角色的访问权限。在本部分中,您将使用 IAM 向用户授予对项目的几个角色的访问权限。
启用 IAM 和 Resource Manager API
- 在 Cloud 控制台的导航菜单中,点击 API 和服务。
- 选择启用 API 和服务。
- 搜索 IAM API,然后启用该 API。
- 搜索
Resource Manager API,然后启用它。
使用 IAM 授予角色
- 前往 IAM 页面。
项目名称会显示在项目选择器中。项目选择器会显示您当前所处的项目。
如果您没有看到项目名称,请使用项目选择器选择您的项目。
- 点击添加。
- 输入主账号的电子邮件地址。
- 从选择角色下拉菜单中,依次选择日志记录 > Logs Viewer > 保存。
- 验证主账号和角色是否在 IAM 页面上列出。
大功告成,您已向主账号授予了 Identity and Access Management 角色!
观察身份和访问权限管理角色的影响
在本部分中,您将验证您为其授予了角色的主账号能否访问预期的 Cloud 控制台页面:
- 将此网址发送给获得该角色的主账号:
https://console.cloud.google.com/logs?project=PROJECT_ID
- 验证该主账号是否能够访问和查看该网址。
主账号无法访问尚未获得相应角色的 Cloud 控制台页面。相反,他们会看到如下所示的错误消息:
You don't have permissions to view logs.
向同一主账号授予其他角色
- 在 Cloud 控制台中,前往 IAM 页面。
- 找到您要向其授予另一个角色的主账号,然后点击修改
。 - 在修改权限窗格中,点击添加其他角色。
- 在选择角色下拉菜单中,依次点击项目 > 查看者 > 保存。
现在,该主账号具有第二个 Identity and Access Management 角色了。
撤消授予主账号的角色
- 找到要撤消其角色的主账号,然后点击 修改。
- 在修改权限窗格中,点击之前授予该主账号的两个角色旁边的
。 - 点击保存。
您已撤消该主账号的这两个角色。如果此人尝试查看之前可以访问的任何页面,会看到错误消息。
4. 清理
为避免因本 Codelab 中使用的资源导致您的 Google Cloud 账号产生费用,请执行以下操作:
- 在 Cloud 控制台中,转到管理资源页面。
- 在项目列表中,选择要删除的项目,然后点击删除。
- 在对话框中输入项目 ID,然后点击关停以删除项目。
5. 恭喜
恭喜!您已了解如何设置 OAuth 客户端,以及如何使用 Cloud 控制台向项目的主账号授予身份和访问管理角色。