Criar uma conta de serviço (guia de início rápido)

10

Neste documento, mostramos como criar uma conta de serviço para acessar componentes do Anthos.

As instruções aqui fazem parte do guia de início rápido. Para instruções completas sobre o uso de contas de serviço com clusters do Anthos no VMware (GKE On-Prem), consulte Contas de serviço e chaves.

Antes de começar

Criar um projeto do Google Cloud (guia de início rápido).

Criar uma conta de serviço de acesso a componentes

Os clusters do Anthos no VMware usam uma conta de serviço para fazer o download de componentes do Anthos no seu nome pelo Container Registry. Essa conta é chamada de conta de serviço de acesso a componentes.

Esta sequência de tópicos de início rápido usa um único projeto do Google Cloud. Você decidiu qual projeto do Google Cloud usar no tópico de início rápido anterior: Projeto do Google Cloud (guia de início rápido).

Sua conta de serviço de acesso a componentes será filha desse projeto do Google Cloud e receberá papéis no mesmo projeto do Google Cloud.

Para criar uma conta de serviço de acesso a componentes:

gcloud iam service-accounts create component-access-sa \
    --display-name "Component Access Service Account" \
    --project PROJECT_ID

Substitua PROJECT_ID pelo ID do projeto do Google Cloud.

Para criar uma chave JSON para sua conta de serviço de acesso a componentes:

gcloud iam service-accounts keys create component-access-key.json \
   --iam-account component-access-sa@[PROJECT_ID].iam.gserviceaccount.com

Como conceder papéis à sua conta de serviço de acesso a componentes

Sua conta de serviço de acesso a componentes precisa receber os seguintes papéis de IAM no projeto do Google Cloud. Estes papéis são necessários para que os clusters do Anthos no VMware possam fazer verificações de simulação:

  • serviceusage.serviceUsageViewer
  • iam.roleViewer
  • iam.serviceAccountViewer

Para conceder papéis:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
    --role "roles/serviceusage.serviceUsageViewer"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
    --role "roles/iam.roleViewer"

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
    --role "roles/iam.serviceAccountViewer"

A seguir

Criar uma estação de trabalho de administrador (guia de início rápido)