Ce document explique comment créer un compte de service pour accéder aux composants Anthos.
Ces instructions font partie d'un guide de démarrage rapide. Pour obtenir des instructions complètes sur l'utilisation des comptes de service avec Clusters Anthos sur VMware (GKE On-Prem), consultez la page Comptes de service et clés.
Avant de commencer
Créez un projet Google Cloud (Guide de démarrage rapide).
Créer un compte de service d'accès au composant
Clusters Anthos sur VMware utilise un compte de service pour télécharger des composants Anthos, en votre nom, à partir de Container Registry. Il s'agit du compte de service d'accès au composant.
Ce guide de démarrage rapide utilise un seul projet Google Cloud. Le compte de service d'accès au composant sera un enfant de ce projet Google Cloud et se verra attribuer des rôles sur ce même projet Google Cloud.
Pour créer un compte de service d'accès au composant, procédez comme suit :
gcloud iam service-accounts create component-access-sa \ --display-name "Component Access Service Account" \ --project PROJECT_ID
Remplacez PROJECT_ID par l'ID de votre projet Google Cloud.
Pour créer une clé JSON pour votre compte de service d'accès au composant, procédez comme suit :
gcloud iam service-accounts keys create component-access-key.json \ --iam-account component-access-sa@[PROJECT_ID].iam.gserviceaccount.com
Attribuer des rôles à votre compte de service d'accès au composant
Votre compte de service d'accès au composant doit disposer des rôles IAM suivants sur votre projet Google Cloud. Ces rôles sont nécessaires pour que Clusters Anthos sur VMware puisse effectuer des vérifications préliminaires :
serviceusage.serviceUsageViewer
iam.serviceAccountCreator
iam.roleViewer
Pour attribuer des rôles, procédez comme suit :
gcloud projects add-iam-policy-binding PROJECT_ID \ --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \ --role "roles/serviceusage.serviceUsageViewer" gcloud projects add-iam-policy-binding PROJECT_ID \ --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \ --role "roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID \ --member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \ --role "roles/iam.roleViewer"
Étapes suivantes
Créez un poste de travail administrateur (Guide de démarrage rapide)