使用 Google Cloud 控制台授予 IAM 角色。
了解如何使用 Google Cloud 控制台在项目级层向主账号授予 IAM 角色。
有关快速演示,请查看以下视频:
如需在 Google Cloud 控制台中直接遵循有关此任务的分步指导,请点击操作演示:
准备工作
创建 Google Cloud 项目
在此快速入门中,您需要一个新的 Google Cloud 项目。
-
在 Google Cloud Console 中,转到项目选择器页面。
-
要开始创建 Google Cloud 项目,请点击创建项目。
-
为您的项目命名。记下生成的项目 ID。
-
根据需要修改其他字段。
-
如需创建项目,请点击创建。
确保您拥有所需的角色
-
在 Google Cloud 控制台中,前往 IAM 页面。
转到 IAM - 选择项目。
-
在主账号列中,找到您的电子邮件地址所在的行。
如果您的电子邮件地址不在此列,则表示您没有任何角色。
- 在您的电子邮件地址所在的行对应的角色列中,检查角色列表是否包含所需的角色。
-
在 Google Cloud 控制台中,前往 IAM 页面。
转到 IAM - 选择项目。
- 点击 授予访问权限。
- 在新的主账号字段中,输入您的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击 Save(保存)。
确保您拥有项目的以下一个或多个角色: Project IAM Admin
检查角色
授予角色
启用 API
启用 IAM and Resource Manager API。
授予 IAM 角色
向主账号授予项目的 Logs Viewer 角色。
在 Google Cloud 控制台中,转到 IAM 页面。
选择新项目。
点击 授予访问权限。
输入主账号的标识符。例如
my-user@example.com。在选择角色下拉菜单中,搜索 Logs Viewer,然后点击 Logs Viewer。
点击保存。
验证主账号及对应的角色在 IAM 页面中列出。
您已成功向主账号授予了 IAM 角色。
观察 IAM 角色的影响
执行以下操作,验证您为其授予了角色的主账号能否访问预期的 Google Cloud 控制台页面:
将以下网址发送给上一步中获得该角色的主账号:
https://console.cloud.google.com/logs?project=PROJECT_ID此网址将主账号转到项目的日志浏览器页面。
验证该主账号是否能够访问和查看该网址。
如果主账号尝试访问其无权访问的其他 Google Cloud 控制台页面,会看到错误消息。
向同一主账号授予额外的角色
除了 Logs Viewer 角色之外,还向主账号授予 App Engine Viewer 角色。
在 Google Cloud 控制台中,转到 IAM 页面。
找到包含要授予其他角色的主账号的行,然后点击该行中的修改主账号 。
在修改权限窗格中,点击添加其他角色。
在选择角色下拉菜单中,搜索 App Engine Viewer,然后点击 App Engine Viewer。点击保存。
点击保存。
现在,此主账号具有第二个 IAM 角色了。
撤消 IAM 角色
执行以下操作,撤消您在上述步骤中向该主账号授予的角色:
找到包含已被授予角色的主账号的行,然后点击该行中的修改主账号 。
在修改权限窗格中,点击 Logs Viewer 和 App Engine Viewer 角色旁边的删除图标。
点击保存。
您现已撤消该主账号的这两个角色。如果他们尝试查看日志浏览器页面,则会看到以下错误消息:
You don't have permissions to view logs.
清理
为避免因本页中使用的资源导致您的 Google Cloud 账号产生费用,请按照以下步骤操作。
删除您为本快速入门创建的项目,以进行清理。
- 在 Google Cloud 控制台中,进入管理资源页面。
- 在项目列表中,选择要删除的项目,然后点击删除。
- 在对话框中输入项目 ID,然后点击关闭以删除项目。
后续步骤
- 了解 IAM 的基础知识。
- 查看所有 IAM 角色的列表。
- 了解如何使用 IAM 管理访问权限。