En este documento, se muestra cómo crear una cuenta de servicio para acceder a los componentes de Anthos.
Estas instrucciones forman parte de una guía de inicio rápido. Para obtener instrucciones completas sobre el uso de cuentas de servicio con clústeres de Anthos alojados en VMware (GKE On-Prem), consulta Cuentas de servicio y claves.
Antes de comenzar
Crea un proyecto de Google Cloud (guía de inicio rápido).
Crea una cuenta de servicio de acceso a componentes
Los clústeres de Anthos alojados en VMware usan una cuenta de servicio para descargar componentes de Anthos en tu nombre desde Container Registry. Esta cuenta se denomina cuenta de servicio de acceso a los componentes.
En esta secuencia de temas de guía de inicio rápido, se usa un solo proyecto de Google Cloud. Ya estableciste qué proyecto de Cloud usar en el tema de inicio rápido anterior: Proyecto de Google Cloud (guía de inicio rápido).
Tu cuenta de servicio de acceso a los componentes será un elemento secundario de ese mismo proyecto de Cloud y se le asignarán roles en ese proyecto de Cloud.
Para crear una cuenta de servicio de acceso a componentes, haz lo siguiente:
gcloud iam service-accounts create component-access-sa \
--display-name "Component Access Service Account" \
--project PROJECT_ID
Reemplaza PROJECT_ID por el ID del proyecto de Cloud.
A fin de crear una clave JSON para tu cuenta de servicio de acceso a los componentes, haz lo siguiente:
gcloud iam service-accounts keys create component-access-key.json \ --iam-account component-access-sa@[PROJECT_ID].iam.gserviceaccount.com
Otorga funciones a tu cuenta de servicio de acceso a componentes
Tu cuenta de servicio de acceso a componentes debe tener las siguientes funciones de IAM en el proyecto de Cloud. Estas funciones son obligatorias para que los clústeres de Anthos alojados en VMware puedan realizar las verificaciones previas:
- serviceusage.serviceUsageViewer
- iam.roleViewer
- iam.serviceAccountViewer
Para otorgar roles, haz lo siguiente:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
--role "roles/serviceusage.serviceUsageViewer"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
--role "roles/iam.roleViewer"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
--role "roles/iam.serviceAccountViewer"
¿Qué sigue?
Crea una estación de trabajo de administrador (guía de inicio rápido)