快速入门:使用 Cloud Console

本页面介绍如何使用 Google Cloud Console 向项目成员授予 IAM 角色。

有关快速演示,请查看以下视频:

此视频展示了如何使用 Cloud Console 向项目成员授予 IAM 角色。

准备工作

创建 Google Cloud 项目

在此快速入门中,您需要一个新的 Google Cloud 项目。

  1. 在 Cloud Console 中,转到项目选择器页面。

    转到项目选择器页面

  2. 点击创建以开始创建 Cloud 项目。

  3. 为您的项目命名。记下生成的项目 ID。

  4. 根据需要修改其他字段。

  5. 点击创建以创建项目。

授予 IAM 角色

添加项目成员,然后向其授予 Logs Viewer 角色 (roles/logging.viewer) 角色。

  1. 在 Cloud Console 中,转到 IAM 页面。

    转到 IAM 页面

  2. 确保新项目的名称显示在页面顶部的项目选择器中。项目选择器会显示当前正在运行的项目。

    如果您没有看到新项目的名称,请点击项目选择器,然后选择新项目。

  3. 在主内容区域中,点击 添加
  4. 输入新成员的电子邮件地址。
  5. 选择角色下拉菜单中,选择日志记录,然后选择 Logs Viewer

  6. 点击保存
  7. 验证确保成员及对应的角色在 IAM 页面中列出。

大功告成,您刚刚向项目成员授予了 IAM 角色!

观察 IAM 角色的影响

执行以下操作,验证您添加的成员是否可以访问预期的 Cloud Console 页面:

  1. 将以下网址发送给上一步中获得该角色的成员: https://console.cloud.google.com/logs?project=project-id
  2. 验证该成员是否能够访问和查看该网址。

成员无法访问尚未获得相应角色的 Cloud Console 页面。相反,他们会看到如下所示的错误消息:

You don't have permissions to view logs.

向同一成员授予其他角色

除 Logs Viewer 角色之外,再向现有成员授予 Viewer 原初角色 (roles/viewer)。Viewer 角色授予对项目中所有现有资源和数据的只读权限。

  1. 在 Cloud Console 中,转到 IAM 页面。

    转到 IAM 页面

  2. 找到您要向其授予另一个角色的成员,然后点击修改
  3. 修改权限窗格中,点击添加其他角色
  4. 选择角色下拉菜单中选择项目,然后选择查看者。点击保存

该成员现就具有第二个 IAM 角色了。

撤消授予成员的角色

执行以下操作,撤消您在上述步骤中向该成员授予的角色:

  1. 找到要撤消其角色的成员,然后点击修改
  2. 修改权限窗格中,点击之前授予该成员的两个角色旁边的“删除”图标。
  3. 点击保存

您现已撤消该成员的这两个角色。如果他们尝试查看之前有权访问的任何页面,都将看到错误消息。

清理

为避免系统因本快速入门中使用的资源向您的 Google Cloud 帐号收取费用,请按照以下步骤操作。

  1. 在 Cloud Console 中,转到管理资源页面。

    转到“管理资源”页面

  2. 在项目列表中,选择要删除的项目,然后点击删除
  3. 在对话框中输入项目 ID,然后点击关闭以删除项目。

后续步骤

  • 要了解 IAM 的基本概念,请阅读 IAM 概览
  • 要查看所有可用 IAM 角色的列表,请阅读了解角色
  • 要了解如何管理访问权限控制,请阅读管理政策