GCP 新手上路:30 分鐘完成環境設定
想學 Google Cloud(GCP),卻不知道從哪下手?或是一打開那堆複雜介面和專有名詞就先退三步?
別擔心,這篇文章會帶你一步步完成 GCP 的初始設定,從申請帳號到把開發環境弄起來,30 分鐘就搞定。做完之後,你會:
- ✅ 擁有一個 GCP 帳號(含 $300 USD 免費額度)
- ✅ 理解 GCP 的資源組織架構
- ✅ 掌握 IAM 權限管理的基礎概念
- ✅ 學會使用 Cloud Shell 進行雲端開發
先決條件:
- 一個 Google 帳號(Gmail)
- 一張信用卡(僅用於身份驗證,不會自動扣款)
- 網路瀏覽器(建議用 Chrome)
開始吧!
為什麼需要環境設定?開始前須知
動手之前,先把幾個重要觀念講清楚:
GCP 免費試用的真相
很多人最擔心「試用結束後會不會被自動扣款?」答案是:絕對不會。
Google Cloud 提供兩種免費方案:
- 90 天免費試用:$300 USD 額度,適用於幾乎所有 GCP 服務
- Always Free 永久免費方案:20+ 產品在特定用量內永久免費
重點是:
- 試用期結束後,GCP 不會自動扣款
- 你必須手動升級到付費帳戶才會開始計費
- 即使升級,也可以隨時查看帳單並設定預算警示
為什麼要學環境設定?
環境設定是雲端學習的第一步,也是最關鍵的一步。把它做好,你可以:
- 建立安全的工作環境,避免誤刪資源或權限外洩
- 搞懂雲端資源怎麼組織,這是架構師的必備底子
- 學會用 Cloud Shell,省去在本機安裝一堆工具的麻煩
接下來就一步步把設定做完。
申請 GCP 帳號與免費試用(Step-by-Step)
步驟 1:前往 GCP 免費試用頁面
- 開啟瀏覽器,前往 https://cloud.google.com/free
- 確保你已登入 Google 帳號(如果沒有,請先註冊一個 Gmail)
- 點擊 「Get started for free」 按鈕
步驟 2:選擇國家/地區與同意條款
GCP 會詢問:
- 所在國家/地區(選擇「台灣」或實際所在地)
- 是否同意服務條款
⚠️ 注意:選擇的國家/地區會影響某些服務的可用性和定價。
勾選「我同意 Google Cloud 服務條款」後,點擊 「繼續」。
步驟 3:驗證信用卡資訊
這是最多人卡關的地方,逐一講清楚:
為什麼需要信用卡?
- 驗證你是真人,而非機器人
- 防止濫用免費試用額度
會扣款嗎?
- Google 會進行小額驗證(通常 $1 USD),但會立即退還
- 試用期結束後不會自動扣款
填寫資訊:
- 信用卡號碼
- 到期日期
- 安全碼(CVV)
- 帳單地址
💡 提示:如果你擔心安全問題,可以使用虛擬信用卡(許多銀行提供此服務)。
完成後,點擊 「開始免費試用」。
步驟 4:確認試用啟用
成功後,你會看到:
- GCP Console 主畫面
- 右上角顯示「免費試用中」
- 剩餘試用額度:$300 USD
🎉 恭喜!你已經擁有 GCP 帳號了!
常見問題排解
| 問題 | 解決方案 |
|---|---|
| 信用卡驗證失敗 | 確認卡片支援國際交易;嘗試另一張卡片 |
| 無法選擇台灣 | 檢查 Google 帳號的國家/地區設定 |
| 試用期結束後自動扣款? | 不會!必須手動升級才會計費 |
認識 GCP 資源層級:Organization / Folder / Project
帳號有了,但在動手建立資源(像是虛擬機器、資料庫)之前,得先搞懂 GCP 怎麼組織這些東西。
GCP 資源層級架構
GCP 用樹狀階層結構來組織資源:
Organization (組織)
↓
Folder (資料夾) - 可選
↓
Project (專案) - 必要
↓
Resources (資源:VM, Database, Storage...)一層一層往下看:
1. Organization(組織)
這是什麼?
- GCP 的最高層級
- 通常對應到一個公司或組織
- 每個 Google Workspace 帳戶只有一個 Organization
誰需要用?
- 企業用戶(有 Google Workspace 企業帳戶)
- 個人用戶通常沒有 Organization(這是正常的!)
範例:
- 組織名稱:
example-corp.com - 所有該公司的 GCP 專案都在此組織下
2. Folder(資料夾)
這是什麼?
- 介於 Organization 和 Project 之間的分組層
- 可選的(不是必須的)
- 可以多層嵌套
為什麼需要?
- 依部門劃分:研發部、行銷部、財務部
- 依環境劃分:開發環境、測試環境、生產環境
- 依產品線劃分:產品 A、產品 B、產品 C
範例架構:
Organization: example-corp
├── Folder: 研發部
│ ├── Project: rd-dev
│ └── Project: rd-prod
└── Folder: 行銷部
└── Project: marketing-analytics💡 新手提示:個人學習時不需要用 Folder,直接建立 Project 即可。
3. Project(專案)★ 最重要
這是什麼?
- GCP 的基本組織單位
- 所有資源必須隸屬於一個 Project
- 是資源容器、帳單邊界、存取控制邊界
Project 的三個關鍵屬性:
| 屬性 | 說明 | 範例 |
|---|---|---|
| Project Name | 易讀的顯示名稱(可重複) | 我的第一個專案 |
| Project ID | 全球唯一識別碼(不可修改) | my-first-project-123456 |
| Project Number | 系統自動分配的數字 | 123456789012 |
為什麼 Project 這麼重要?
- 所有 GCP 指令都需要指定 Project ID
- 帳單是以 Project 為單位計算
- IAM 權限也是以 Project 為邊界
💡 最佳實踐:
- 開發、測試、生產環境各建立獨立 Project
- 使用有意義的命名規則(如
myapp-dev,myapp-prod) - 定期檢查並清理不用的 Project
4. Resources(資源)
這是什麼?
- 實際的 GCP 服務實例
- 例如:Compute Engine VM、Cloud Storage bucket、Cloud SQL 資料庫
重要觀念:
- 每個資源必須隸屬於一個 Project
- 資源無法跨 Project 共用(但可以透過網路或 IAM 連接)
IAM 政策的繼承機制
搞懂層級架構後,還要知道權限是怎麼往下繼承的:
Organization 層級的權限
↓ 繼承
Folder 層級的權限
↓ 繼承
Project 層級的權限
↓ 繼承
Resource 層級的權限範例:
- 如果你在 Organization 層級授予某人「Viewer」角色
- 他就能查看該 Organization 下的所有 Folder、Project、Resources
⚠️ 安全提醒:
- 在高層級(Organization/Folder)授權時要特別小心
- 新手建議只在 Project 層級授予權限
快速測試:建立你的第一個 Project
實際動手建立一個 Project 吧:
- 在 GCP Console 頂端,點擊「Select a project」下拉選單
- 點擊 「NEW PROJECT」
- 填寫資訊:
- Project name:
my-first-gcp-project - Project ID: (系統會自動產生,你也可以自訂)
- Organization: (如果沒有就留空)
- Project name:
- 點擊 「CREATE」
等待幾秒鐘,你的第一個 Project 就建立好了!🎉
IAM 權限管理入門:角色與最佳實踐
有了 Project 之後,接下來要學的是怎麼安全地管理存取權限,這就是 IAM(Identity and Access Management)在做的事。
IAM 是什麼?
IAM 控制「誰」可以對「哪些資源」做「什麼操作」。
拿管理公司門禁系統來比喻:
- 👤 誰:員工、訪客、清潔人員
- 🚪 哪裡:辦公室、會議室、機房
- 🔑 能做什麼:進入、使用設備、修改設定
IAM 就是雲端的門禁系統!
IAM 的三大組成要素
在 GCP 裡,授予權限會牽涉到三個組件:
Principal (主體) + Role (角色) + Resource (資源) = IAM Policy1. Principal(主體)- 誰需要存取?
| 類型 | 說明 | 範例 |
|---|---|---|
| Google Account | 個人 Gmail 帳號 | alice@gmail.com |
| Service Account | 應用程式/服務的身份 | my-app@my-project.iam.gserviceaccount.com |
| Google Group | 一群使用者 | dev-team@example.com |
| Google Workspace domain | 整個網域的使用者 | example.com |
💡 新手重點:
- 你的 Gmail 就是一個 Principal
- Service Account 用於程式自動化(稍後會用到)
2. Role(角色)- 授予什麼權限?
GCP 提供三種角色類型:
a. Basic Roles(基本角色)- ❌ 不建議
| 角色 | 權限範圍 | 適用場景 |
|---|---|---|
| Owner | 完全控制(含刪除專案) | 專案擁有者 |
| Editor | 讀取 + 修改資源 | 開發人員 |
| Viewer | 只能查看 | 稽核人員 |
為什麼不建議?
- 權限太廣,違反最小權限原則
- 沒辦法做細粒度控制。例如你只想讓某人管理 VM,但 Editor 連資料庫都能刪
b. Predefined Roles(預定義角色)- ✅ 建議使用
Google 為每個服務提供細粒度的角色:
| 服務 | 角色範例 | 權限說明 |
|---|---|---|
| Compute Engine | roles/compute.instanceAdmin.v1 | 管理 VM 實例 |
| Cloud Storage | roles/storage.objectViewer | 查看 Storage 物件 |
| BigQuery | roles/bigquery.dataViewer | 查看 BigQuery 資料 |
優點:
- 權限精確,只給必要的操作
- Google 會持續維護更新
- 符合安全最佳實踐
c. Custom Roles(自定義角色)- ⚙️ 進階使用
自己定義權限集合,適合有特殊需求的企業。
範例:建立一個「只能啟動/停止 VM,但不能刪除」的角色。
💡 新手建議:先使用 Predefined Roles,熟悉後再考慮 Custom Roles。
3. Resource(資源)- 對哪些資源授權?
可以在不同層級授權:
- Organization 層級(影響所有資源)
- Folder 層級
- Project 層級
- 個別 Resource 層級(如單一 VM)
IAM 最佳實踐(2026 版)
參考 Google Cloud 最新的建議:
1. 最小權限原則 (Principle of Least Privilege)
不好的做法:
授予 alice@gmail.com 為 Project Owner
(她可以刪除整個專案!)好的做法:
授予 alice@gmail.com 為 Compute Instance Admin
(她只能管理 VM,無法刪除專案或存取資料庫)2. 使用群組而非個人帳號
不好的做法:
逐一授權給 alice@, bob@, charlie@
(新人加入要一個個加,離職也要一個個移除)好的做法:
建立 Google Group "dev-team@"
授權給群組
(只需管理群組成員,IAM 設定不變)3. 定期檢查權限(使用 IAM Recommender)
GCP 會自動分析使用情況,主動建議你移除用不到的權限:
- 前往 GCP Console → IAM & Admin → IAM
- 查看「Recommendations」標籤
- 檢視並套用建議
範例建議:
“alice@gmail.com 在過去 90 天未使用 BigQuery Admin 權限,建議降級為 BigQuery Viewer”
實戰練習:授予他人查看權限
假設你想讓朋友看你的 Project,但不能改動:
- 前往 IAM & Admin → IAM
- 點擊 「ADD」
- 填寫:
- New principals:
friend@gmail.com - Select a role:
Viewer
- New principals:
- 點擊 「SAVE」
完成!你的朋友現在可以查看專案內容,但無法做任何修改。
⚠️ 練習後記得移除權限:
- 在 IAM 頁面找到
friend@gmail.com - 點擊右側的 ✏️ (編輯)
- 點擊 🗑️ (刪除) 移除該權限
啟用 Cloud Shell 與基本操作
終於來到最後一個重點:Cloud Shell!
Cloud Shell 是什麼?
Cloud Shell 是 GCP 提供的免費雲端終端環境,直接在瀏覽器裡跑,不用在電腦上裝任何工具。
特色:
- ✅ 完全免費(無需額外費用)
- ✅ 預裝工具:gcloud CLI, kubectl, terraform, git, vim, nano…
- ✅ 5GB 永久儲存:$HOME 目錄的檔案會保留
- ✅ 自動認證:已登入你的 GCP 帳號,無需額外設定
- ✅ 內建程式碼編輯器:類似 VS Code 的 Web IDE
為什麼適合新手?
- 不用煩惱「我的電腦是 Windows/Mac/Linux,指令會不會不一樣?」
- 不用自己裝 Python、Node.js、Docker,全部都幫你裝好了
- 出門在外用平板或手機也能操作,只要有瀏覽器就行
啟用 Cloud Shell
步驟:
- 在 GCP Console 右上角,點擊 「Activate Cloud Shell」 圖示(看起來像
>_) - 等待幾秒鐘,終端視窗會從底部彈出
- 看到提示字元
username@cloudshell:~$就代表成功了!
💡 快捷鍵:Ctrl + Alt + S(Windows/Linux)或 Cmd + Option + S(Mac)
Cloud Shell 基本操作
1. 確認當前 Project
gcloud config get-value project預期輸出:
my-first-gcp-project如果顯示的不是你想要的 Project,可以切換:
gcloud config set project YOUR_PROJECT_ID2. 檢查已安裝的工具
# 檢查 gcloud 版本
gcloud version
# 檢查 kubectl 版本
kubectl version --client
# 檢查 Python 版本
python3 --version
# 檢查 Node.js 版本
node --version你會發現常用的開發工具早就幫你裝好了!
3. 使用內建程式碼編輯器
Cloud Shell 提供類似 VS Code 的編輯器:
開啟編輯器:
- 點擊右上角的 「Open Editor」 圖示(鉛筆形狀)
- 或執行指令:
cloudshell edit ~/my-script.sh
建立一個測試檔案:
echo "echo 'Hello from Cloud Shell!'" > hello.sh
chmod +x hello.sh
./hello.sh預期輸出:
Hello from Cloud Shell!4. 永久儲存檔案
Cloud Shell 的 $HOME 目錄(/home/your_username)會永久保留檔案(5GB 限制)。
測試:
# 建立一個檔案
echo "This file will persist" > ~/persistent-file.txt
# 關閉 Cloud Shell 並重新開啟
# 檢查檔案是否還在
cat ~/persistent-file.txt檔案還在!所以你可以把常用的設定檔、腳本都丟在這裡。
⚠️ 注意:/tmp 目錄的檔案會在每次重啟後清除。
5. 網頁預覽功能(Web Preview)
Cloud Shell 甚至能直接跑 Web 應用程式給你預覽!
範例:啟動一個簡單的 HTTP 伺服器:
# 建立一個簡單的 HTML 檔案
echo "<h1>Hello from Cloud Shell Web Preview</h1>" > index.html
# 啟動 Python HTTP 伺服器(Port 8080)
python3 -m http.server 8080然後:
- 點擊 Cloud Shell 上方的 「Web Preview」 圖示
- 選擇 「Preview on port 8080」
- 新分頁會開啟,顯示你的網頁!
💡 用途:
- 測試前端網頁
- 預覽 API 文件
- 執行開發伺服器(如 React, Vue, Flask)
Cloud Shell 限制
Cloud Shell 雖然好用,但還是有一些限制:
| 限制 | 說明 |
|---|---|
| 使用時間 | 閒置 20 分鐘自動關閉(重新開啟即可) |
| 儲存空間 | $HOME 目錄限制 5GB |
| 運算資源 | 共享資源,不適合跑大型運算任務 |
| 套件不持久 | 有 sudo 權限可裝套件,但 $HOME 以外的系統變更會在 VM 回收後重置 |
常用 gcloud 指令速查
Cloud Shell 啟用好了,這裡整理幾個最常用的 gcloud 指令:
# 查看目前登入的帳號
gcloud auth list
# 列出所有 Project
gcloud projects list
# 切換 Project
gcloud config set project PROJECT_ID
# 查看目前設定
gcloud config list
# 列出 Compute Engine VM 實例
gcloud compute instances list
# 列出 Cloud Storage buckets
gcloud storage buckets list
# 查看帳單資訊
gcloud billing accounts list💡 小技巧:不確定指令怎麼用?加上 --help 查看說明:
gcloud compute instances create --help實戰練習:建立第一個服務帳戶
現在把前面學到的東西全用上,來做一個實戰練習:建立一個服務帳戶(Service Account)。
什麼是服務帳戶?
服務帳戶是給應用程式用的身份,不是給真人用的。
使用場景:
- 讓你的 Python 腳本自動上傳檔案到 Cloud Storage
- 讓 CI/CD 系統自動部署應用程式到 GCP
- 讓 VM 實例存取其他 GCP 服務
步驟 1:建立服務帳戶
在 Cloud Shell 中執行:
# 設定變數(替換成你的 Project ID)
export PROJECT_ID="my-first-gcp-project"
# 建立服務帳戶
gcloud iam service-accounts create my-first-sa \
--description="My first service account" \
--display-name="My First SA" \
--project=$PROJECT_ID預期輸出:
Created service account [my-first-sa].步驟 2:授予權限
讓這個服務帳戶能夠查看 Storage 物件:
# 授予 Storage Object Viewer 角色
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member="serviceAccount:my-first-sa@${PROJECT_ID}.iam.gserviceaccount.com" \
--role="roles/storage.objectViewer"步驟 3:列出服務帳戶
確認剛才建立的服務帳戶:
gcloud iam service-accounts list --project=$PROJECT_ID預期輸出:
DISPLAY NAME EMAIL DISABLED
My First SA my-first-sa@my-first-gcp-project.iam.gserviceaccount.com False步驟 4:(可選)下載金鑰
如果需要在本地程式中使用這個服務帳戶:
gcloud iam service-accounts keys create ~/my-first-sa-key.json \
--iam-account=my-first-sa@${PROJECT_ID}.iam.gserviceaccount.com⚠️ 安全警告:
- 金鑰檔案(JSON)就像密碼,不可外洩
- 不要上傳到 GitHub 或公開的地方
- 建議使用「短期憑證」(Workload Identity)而非金鑰檔案(進階主題)
步驟 5:清理資源
練習完畢後,記得刪除服務帳戶:
# 刪除金鑰檔案
rm ~/my-first-sa-key.json
# 刪除服務帳戶
gcloud iam service-accounts delete \
my-first-sa@${PROJECT_ID}.iam.gserviceaccount.com \
--project=$PROJECT_ID總結與下一步
恭喜你!🎉 GCP 環境設定到這邊就完成了,現在你手上有:
✅ 你學會了什麼
| 主題 | 關鍵技能 |
|---|---|
| GCP 帳號 | 申請免費試用、理解計費機制 |
| 資源層級 | Organization / Folder / Project 架構 |
| IAM 權限 | 最小權限原則、角色類型、授權流程 |
| Cloud Shell | 啟用終端、執行指令、使用編輯器 |
| 實戰練習 | 建立服務帳戶、授予權限、管理金鑰 |
📋 檢查清單
在進入下一篇文章前,確認你已完成:
- 成功申請 GCP 帳號(含 $300 試用額度)
- 建立至少一個 Project
- 理解 IAM 的 Principal、Role、Resource 三要素
- 啟用 Cloud Shell 並執行基本指令
- 建立並刪除一個服務帳戶
有哪一項還不太熟,建議回頭再操作一遍。
🚀 下一步:建立你的第一台雲端主機
環境設定搞定,接下來就是實際部署資源了!
下一篇《第一台雲端主機:Compute Engine 實戰》會帶你學會:
- 建立一台 VM 實例
- SSH 連線到虛擬機器
- 架設一個簡單的網站
- 設定防火牆規則
- 建立快照備份
預計發布:本系列文章每週更新,記得追蹤我們的 部落格 或 訂閱電子報!
🔗 延伸閱讀
- Google Cloud 官方文件
- Google Cloud Skills Boost(原 Qwiklabs,免費實驗室與課程)
- GCP 中文社群(Facebook)
💬 遇到問題?
如果在設定過程中遇到任何問題,歡迎:
- 在文章下方留言
- 加入 GCP 中文社群討論區
- 查閱 官方故障排除指南
記住:雲端學習是循序漸進的,別怕犯錯。GCP 給的 $300 試用額度,就是讓你放心拿來實驗的!
關於本系列
這是《GCP Mastery:從雲端小白到精通》系列的第 2 篇文章,基於《Google Cloud 從雲端小白到黑帶高手》書籍規劃。
系列導覽:
同階段文章:
完整系列目錄:點此查看完整課程列表
下一課 GCP-103:第一台雲端主機——Compute Engine 從建立到監控,我們動手建你的第一台 VM。