이 문서에서는 Anthos 구성요소에 액세스하는 데 필요한 서비스 계정을 만드는 방법을 설명합니다.
여기 제시된 안내는 빠른 시작의 일부입니다. VMware용 Anthos 클러스터(GKE On-Prem)에서 서비스 계정을 사용하는 방법에 대한 자세한 내용은 서비스 계정 및 키를 참조하세요.
시작하기 전에
Google Cloud 프로젝트를 만듭니다(빠른 시작).
구성요소 액세스 서비스 계정 만들기
Anthos clusters on VMware는 서비스 계정을 사용하여 사용자 대신 Container Registry에서 Anthos 구성요소를 다운로드합니다. 이 계정을 구성요소 액세스 서비스 계정이라고 합니다.
이 빠른 시작에서는 단일 Google Cloud 프로젝트를 사용합니다. 구성요소 액세스 서비스 계정은 Google Cloud 프로젝트의 하위 항목이 되고 동일한 Google Cloud 프로젝트에 대한 역할이 부여됩니다.
구성요소 액세스 서비스 계정을 만들려면 다음을 실행합니다.
gcloud iam service-accounts create component-access-sa \
--display-name "Component Access Service Account" \
--project PROJECT_ID
PROJECT_ID를 Google Cloud 프로젝트의 ID로 바꿉니다.
구성요소 액세스 서비스 계정의 JSON 키를 만들려면 다음을 실행합니다.
gcloud iam service-accounts keys create component-access-key.json \ --iam-account component-access-sa@[PROJECT_ID].iam.gserviceaccount.com
구성요소 액세스 서비스 계정에 역할 부여
구성요소 액세스 서비스 계정에는 Google Cloud 프로젝트에 대한 다음 IAM 역할이 부여되어야 합니다. VMware용 Anthos 클러스터에서 실행 전 검사를 수행할 수 있도록 다음 역할이 필요합니다.
serviceusage.serviceUsageVieweriam.serviceAccountCreatoriam.roleViewer
역할을 부여하려면 다음을 실행합니다.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
--role "roles/serviceusage.serviceUsageViewer"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
--role "roles/iam.serviceAccountCreator"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
--role "roles/iam.roleViewer"