1. 事前準備
本程式碼研究室說明如何設定 OAuth 用戶端,以及如何使用 Google Cloud 控制台,為專案的主體授予 Identity and Access Management (IAM) 角色。
必要條件
- 能夠瀏覽 Cloud 控制台。
課程內容
- 如何將應用程式設為 OAuth 用戶端。
- 如何使用 Identity and Access Management (IAM) 限制應用程式存取權。
軟硬體需求
- 新版網路瀏覽器,例如 Google Chrome。
- 擁有 Google 帳戶,例如 Gmail 帳戶或 Google Workspace 帳戶。
- 存取 Cloud Billing 帳戶或信用卡,以便申請免費試用。
2. 建立 Google Cloud 專案並設定帳單帳戶
- 登入 Cloud Console。
- 前往專案選取器頁面。
- 按一下 [Create Project]。
- 為專案命名,然後記下系統產生的專案 ID。
- 視需要編輯其他欄位。
- 點選「建立」。
- 如果尚未啟用,請在 Cloud Console 中啟用帳單,以便使用 Google Cloud 資源。
雖然本程式碼研究室的費用不高,但為避免產生額外費用,請按照「清除」一節的指示關閉資源。請注意,Google Cloud 新使用者享有價值 $300 美元的免費試用期。
3. 使用 IAM 授予存取權
透過 IAM,您可以授予使用者專案和資源的存取權。在本節中,您會使用 IAM 授予使用者專案的幾個角色存取權。
啟用 IAM 和 Resource Manager API
- 在 Cloud Console 的導覽選單中,按一下「API 和服務」。
- 選取「啟用 API 和服務」。
- 搜尋並啟用 IAM API。
- 搜尋
Resource Manager API,然後啟用。
使用 IAM 授予角色
- 前往「身分與存取權管理」頁面。
專案名稱會顯示在專案選取器中。專案選取器會顯示您目前所在的專案。
如果沒有看到專案名稱,請使用專案選取器選取專案。
- 按一下 [新增]。
- 輸入主體的電子郵件地址。
- 在「Select a role」(選擇角色) 下拉式選單中,依序選取「Logging」(記錄) >「Logs Viewer」(記錄檢視者) >「Save」(儲存)。
- 確認 IAM 頁面上列出了主體和角色。
這樣就完成了,您已將身分與存取權管理角色授予主體!
觀察身分與存取權管理角色的效果
在本節中,您將驗證獲派角色的主體是否能存取預期的 Cloud 控制台頁面:
- 將這個網址傳送給獲派角色的主體:
https://console.cloud.google.com/logs?project=PROJECT_ID
- 確認主體可以存取及查看網址。
如果主體未獲授適當角色,就無法存取 Cloud 控制台頁面。而是看到類似以下範例的錯誤訊息:
You don't have permissions to view logs.
為相同主體授予其他角色
- 前往 Cloud Console 的「IAM」頁面。
- 找出要授予其他角色的主體,然後按一下「編輯」圖示
。 - 在「編輯權限」窗格中,按一下 [新增其他角色]。
- 在「Select a role」(選擇角色) 下拉式選單中,依序點選「Project」(專案) >「Viewer」(檢視者) >「Save」(儲存)。
這個主體現已具備第二個身分與存取權管理角色。
撤銷授予主體的角色
- 找出要撤銷角色的主體,然後按一下「編輯」圖示 。
- 在「編輯權限」窗格中,點選先前授予主體的兩個角色旁的
。 - 按一下 [儲存]。
您已撤銷主體的兩個角色。如果該使用者嘗試查看先前可存取的任何頁面,系統會顯示錯誤訊息。
4. 清理
如要避免系統向您的 Google Cloud 帳戶收取本程式碼研究室所用資源的費用,請按照下列步驟操作:
5. 恭喜
恭喜!您已瞭解如何設定 OAuth 用戶端,以及如何使用 Cloud Console 將專案的身分與存取權管理角色授予主體。