使用客户端库编写允许政策
了解如何以您喜爱的编程语言开始使用 Resource Manager API 中的 IAM 方法。
如需在 Cloud Console 中直接获取有关此任务的分步指导,请点击操作演示:
以下部分将引导您完成与点击操作演示相同的步骤。
准备工作
创建 Google Cloud 项目
在此快速入门中,您需要一个新的 Google Cloud 项目。
- 登录您的 Google Cloud 帐号。如果您是 Google Cloud 新手,请创建一个帐号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。
-
在 Google Cloud Console 中的项目选择器页面上,点击创建项目以开始创建新的 Google Cloud 项目。
-
启用 Resource Manager API。
-
创建服务帐号:
-
在 Cloud Console 中,转到创建服务帐号页面。
转到“创建服务帐号” - 选择您的项目。
-
在服务帐号名称字段中,输入一个名称。Cloud Console 会根据此名称填充服务帐号 ID 字段。
在服务帐号说明字段中,输入说明。例如,
Service account for quickstart
。 - 点击创建并继续。
-
如需提供对项目的访问权限,请向服务帐号授予以下角色:Project IAM Admin 。
在选择角色列表中,选择一个角色。
如需添加其他角色,请点击
添加其他角色,然后添加其他各个角色。 - 点击继续。
-
点击完成以完成服务帐号的创建过程。
不要关闭浏览器窗口。您将在下一步骤中用到它。
-
-
创建服务帐号密钥:
- 在 Cloud Console 中,点击您创建的服务帐号的电子邮件地址。
- 点击密钥。
- 点击添加密钥,然后点击创建新密钥。
- 点击创建。JSON 密钥文件将下载到您的计算机上。
- 点击关闭。
-
将环境变量
GOOGLE_APPLICATION_CREDENTIALS
设置为包含您的服务帐号密钥的 JSON 文件的路径。 此变量仅适用于当前的 shell 会话,因此,如果您打开新的会话,请重新设置该变量。 -
在 Google Cloud Console 中的项目选择器页面上,点击创建项目以开始创建新的 Google Cloud 项目。
-
启用 Resource Manager API。
-
创建服务帐号:
-
在 Cloud Console 中,转到创建服务帐号页面。
转到“创建服务帐号” - 选择您的项目。
-
在服务帐号名称字段中,输入一个名称。Cloud Console 会根据此名称填充服务帐号 ID 字段。
在服务帐号说明字段中,输入说明。例如,
Service account for quickstart
。 - 点击创建并继续。
-
如需提供对项目的访问权限,请向服务帐号授予以下角色:Project IAM Admin 。
在选择角色列表中,选择一个角色。
如需添加其他角色,请点击
添加其他角色,然后添加其他各个角色。 - 点击继续。
-
点击完成以完成服务帐号的创建过程。
不要关闭浏览器窗口。您将在下一步骤中用到它。
-
-
创建服务帐号密钥:
- 在 Cloud Console 中,点击您创建的服务帐号的电子邮件地址。
- 点击密钥。
- 点击添加密钥,然后点击创建新密钥。
- 点击创建。JSON 密钥文件将下载到您的计算机上。
- 点击关闭。
-
将环境变量
GOOGLE_APPLICATION_CREDENTIALS
设置为包含您的服务帐号密钥的 JSON 文件的路径。 此变量仅适用于当前的 shell 会话,因此,如果您打开新的会话,请重新设置该变量。
安装客户端库
C#
如需详细了解如何设置 C# 开发环境,请参阅 C# 开发环境设置指南。
install-package Google.Apis.Iam.v1 install-package Google.Apis.CloudResourceManager.v1
Go
go get golang.org/x/oauth2/google go get google.golang.org/api/cloudresourcemanager/v1
Java
如需详细了解如何设置 Java 开发环境,请参阅 Java 开发环境设置指南。
如果您使用的是 Maven,请将其添加到您的pom.xml
文件中。
Python
如需详细了解如何设置 Python 开发环境,请参阅 Python 开发环境设置指南。
pip install --upgrade google-api-python-client google-auth google-auth-httplib2
读取、修改和编写允许政策
本快速入门中的代码段会执行以下操作:
- 初始化用于管理 Google Cloud 项目的 Resource Manager 服务。
- 读取项目的允许政策。
- 通过将 Log Writer 角色 (
roles/logging.logWriter
) 授予您的 Google 帐号来修改允许政策。 - 写入更新后的允许政策。
- 输出项目级层具有 Log Writer 角色 (
roles/logging.logWriter
) 的所有主帐号。 - 撤消 Log Writer 角色。
在运行代码段之前替换以下值:
your-project
:您的项目的 ID。your-member
:您的 Google 帐号的电子邮件地址和前缀user:
的组合。例如user:tanya@example.com
。
C#
如需了解如何安装和使用 Secret Manager 客户端库,请参阅 Resource Manager 客户端库。如需了解详情,请参阅 Resource Manager C# API 参考文档。
Go
如需了解如何安装和使用 Secret Manager 客户端库,请参阅 Resource Manager 客户端库。如需了解详情,请参阅 Resource Manager Go API 参考文档。
Java
如需了解如何安装和使用 Secret Manager 客户端库,请参阅 Resource Manager 客户端库。如需了解详情,请参阅 Resource Manager Java API 参考文档。
Python
如需了解如何安装和使用 Secret Manager 客户端库,请参阅 Resource Manager 客户端库。如需了解详情,请参阅 Resource Manager Python API 参考文档。
恭喜!您使用了 Resource Manager API 中的 IAM 方法来修改项目的访问权限。
结果怎么样?
清理
- 使用 Cloud Console 删除不需要的项目。
后续步骤
- 了解 IAM 的工作原理。
- 详细了解如何授予、更改和撤消访问权限。
- 使用政策问题排查工具排查访问权限问题。