本页面介绍如何使用 Google Cloud Console 向项目成员授予 IAM 角色。
有关快速演示,请查看以下视频:
准备工作
创建 Google Cloud 项目
在此快速入门中,您需要一个新的 Google Cloud 项目。
-
在 Google Cloud Console 中,转到项目选择器页面。
-
点击创建以开始创建 Google Cloud 项目。
-
为您的项目命名。记下生成的项目 ID。
-
根据需要修改其他字段。
-
点击创建以创建项目。
授予 IAM 角色
添加项目成员,然后向其授予 Logs Viewer 角色 (roles/logging.viewer) 角色。
-
在 Cloud Console 中,转到 IAM 页面。
-
确保新项目的名称显示在页面顶部的项目选择器中。项目选择器会显示当前正在运行的项目。
如果您没有看到新项目的名称,请点击项目选择器,然后选择新项目。
- 在主内容区域中,点击 person_add 添加。
- 输入新成员的电子邮件地址。
从选择角色下拉菜单中,选择日志记录,然后选择 Logs Viewer。
- 点击保存。
- 验证确保成员及对应的角色在 IAM 页面中列出。
大功告成,您刚刚向项目成员授予了 IAM 角色!
观察 IAM 角色的影响
执行以下操作,验证您添加的成员是否可以访问预期的 Cloud Console 页面:
- 将以下网址发送给上一步中获得该角色的成员:
https://console.cloud.google.com/logs?project=project-id。 - 验证该成员是否能够访问和查看该网址。
成员无法访问尚未获得相应角色的 Cloud Console 页面。相反,他们会看到如下所示的错误消息:
You don't have permissions to view logs.
向同一成员授予其他角色
除 Logs Viewer 角色之外,再向现有成员授予 Viewer 基本角色 (roles/viewer)。Viewer 角色提供对项目中所有现有资源和数据的只读权限。
-
在 Cloud Console 中,转到 IAM 页面。
- 找到您要向其授予另一个角色的成员,然后点击修改 edit。
- 在修改权限窗格中,点击添加其他角色。
- 从选择角色下拉菜单中选择项目,然后选择查看者。点击保存。
该成员现就具有第二个 IAM 角色了。
撤消授予成员的角色
执行以下操作,撤消您在上述步骤中向该成员授予的角色:
- 找到要撤消其角色的成员,然后点击修改 edit。
- 在修改权限窗格中,点击之前授予该成员的两个角色旁边的“删除”图标。
- 点击保存。
您现已撤消该成员的这两个角色。如果他们尝试查看之前有权访问的任何页面,都将看到错误消息。
清理
为避免系统因本快速入门中使用的资源向您的 Google Cloud 帐号收取费用,请按照以下步骤操作。
- 在 Cloud Console 中,转到管理资源页面。
- 在项目列表中,选择要删除的项目,然后点击删除。
- 在对话框中输入项目 ID,然后点击关闭以删除项目。