使用 Google Cloud 控制台授予 IAM 角色

瞭解如何使用 Google Cloud 控制台,在專案層級對主體授予 IAM 角色。

如需快速瞭解相關資訊,請觀看以下影片:

這部影片說明如何使用Google Cloud 控制台,將 IAM 角色授予主體。

如要直接在 Google Cloud 控制台中,按照這項工作的逐步指南操作,請按一下「Guide me」(逐步引導)

「Guide me」(逐步引導)

事前準備

建立 Google Cloud 專案

在這個快速入門導覽課程中,您需要使用新的 Google Cloud 專案。

  1. 確認您具備專案建立者身分與存取權管理角色 (roles/resourcemanager.projectCreator)。瞭解如何授予角色

  2. 前往 Google Cloud 控制台的專案選擇器頁面。

    前往專案選取器

  3. 按一下 [Create Project]

  4. 為專案命名,並記下系統產生的專案 ID。

  5. 視需要編輯其他欄位。

  6. 點選「建立」

確認您具備必要角色

    請確認您在專案中具備下列角色: 專案 IAM 管理員

    檢查角色

    1. 前往 Google Cloud 控制台的「IAM」頁面。

      前往「IAM」頁面
    2. 選取專案。

    3. 在「主體」欄中,找出所有識別您或您所屬群組的資料列。如要瞭解自己所屬的群組,請與管理員聯絡。

    4. 針對指定或包含您的所有列,請檢查「角色」欄,確認角色清單是否包含必要角色。

    授予角色

    1. 前往 Google Cloud 控制台的「IAM」頁面。

      前往「IAM」頁面
    2. 選取專案。
    3. 按一下「Grant access」(授予存取權)

    4. 在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是指 Google 帳戶的電子郵件地址。

    5. 按一下「選取角色」,然後搜尋角色。
    6. 如要授予其他角色,請按一下「Add another role」(新增其他角色),然後新增其他角色。
    7. 按一下「Save」(儲存)

啟用 API

啟用 IAM 和 Resource Manager API。

啟用 API 時所需的角色

如要啟用 API,您需要服務使用情形管理員 IAM 角色 (roles/serviceusage.serviceUsageAdmin),其中包含 serviceusage.services.enable 權限。瞭解如何授予角色

啟用 API

授予 IAM 角色

將專案的記錄檢視者角色授予主體。

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

    前往「IAM」(身分與存取權管理) 頁面

  2. 選取新專案。

  3. 按一下 「授予存取權」

  4. 輸入主體的 ID。例如:my-user@example.com

  5. 在「Select a role」(選取角色) 下拉式選單中搜尋「Logs Viewer」(記錄檢視者),然後按一下「Logs Viewer」(記錄檢視者)

  6. 按一下 [儲存]

  7. 確認 IAM 頁面上列出了主體和相應的角色。

您已成功將 IAM 角色授予主體。

觀察 IAM 角色的效果

確認您授予角色的主體可以存取預期的Google Cloud 控制台頁面:

  1. 將以下網址傳送給在上一個步驟中獲派角色的主體:

    https://console.cloud.google.com/logs?project=PROJECT_ID

    這個網址會將主體導向至您專案的「Logs Explorer」(記錄檔探索工具) 頁面。

  2. 確認主體可以順利存取及查看網址。

如果主體試圖存取不具備存取權的其他 Google Cloud 控制台頁面,系統會顯示錯誤訊息。

為相同的主體授予其他角色

除了記錄檢視者角色外,也授予主體 Compute 檢視者角色。

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

    前往「IAM」(身分與存取權管理) 頁面

  2. 找出要授予其他角色的主體,然後點選該列中的「Edit principal」(編輯主體)

  3. 在「編輯權限」窗格中,按一下 [新增其他角色]

  4. 在「Select a role」(選取角色) 下拉式選單中搜尋「Compute Viewer」(Compute 檢視者),然後按一下「Compute Viewer」(Compute 檢視者)。然後按一下 [儲存]

  5. 按一下 [儲存]

這個主體現已具備第二個身分與存取權管理角色。

撤銷 IAM 角色

按照下列步驟,撤銷您在上一個步驟中授予主體的角色:

  1. 找出您授予角色的主體,然後點選位於同一列中的「Edit principal」(編輯主體)

  2. 在「編輯權限」窗格中,按一下「記錄檢視者」和「Compute 檢視者」角色旁的刪除圖示。

  3. 按一下 [儲存]

您現在已經撤銷主體的兩個角色。如果該主體試圖查看「Logs Explorer」(記錄檔探索工具) 頁面,系統會顯示下列錯誤訊息:

You don't have permissions to view logs.

清除所用資源

為了避免系統向您的 Google Cloud 帳戶收取本頁面所用資源的費用,請按照下列步驟操作。

如要清除所用資源,請刪除您在本快速入門導覽課程中建立的專案。

  1. 前往 Google Cloud 控制台的「Manage resources」(管理資源) 頁面。

    前往「Manage resources」(管理資源)

  2. 在專案清單中選取要刪除的專案,然後點選「Delete」(刪除)
  3. 在對話方塊中輸入專案 ID,然後按一下 [Shut down] (關閉) 以刪除專案。

後續步驟