このドキュメントでは、Anthos コンポーネントにアクセスするためのサービス アカウントを作成する方法について説明します。
この手順はクイックスタートの一部です。Anthos clusters on VMware(GKE On-Prem)でサービス アカウントを使用する詳しい手順については、サービス アカウントとキーをご覧ください。
始める前に
Google Cloud プロジェクトを作成する(クイックスタート)。
コンポーネント アクセス サービス アカウントを作成する
Anthos clusters on VMware は、サービス アカウントを使用して、Container Registry から Anthos コンポーネントをダウンロードします。このアカウントは、コンポーネント アクセス サービス アカウントと呼ばれます。
このクイックスタートでは、1 つの Google Cloud プロジェクトを使用します。コンポーネント アクセス サービス アカウントは、その Cloud プロジェクトの子であり、同じ Cloud プロジェクトに対するロールが付与されます。
コンポーネント アクセス サービス アカウントを作成するには、次のコマンドを実行します。
gcloud iam service-accounts create component-access-sa \
--display-name "Component Access Service Account" \
--project PROJECT_ID
PROJECT_ID は実際の Cloud プロジェクトの ID に置き換えます。
コンポーネント アクセス サービス アカウントの JSON キーを作成するには、次のコマンドを実行します。
gcloud iam service-accounts keys create component-access-key.json \ --iam-account component-access-sa@[PROJECT_ID].iam.gserviceaccount.com
コンポーネント アクセス サービス アカウントにロールを付与する
コンポーネント アクセス サービス アカウントには、Cloud プロジェクトに対する次の IAM ロールが付与されている必要があります。これらのロールは、Anthos clusters on VMware がプリフライト チェックを実行するために必要です。
serviceusage.serviceUsageVieweriam.serviceAccountCreatoriam.roleViewer
ロールを付与するには:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
--role "roles/serviceusage.serviceUsageViewer"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
--role "roles/iam.serviceAccountCreator"
gcloud projects add-iam-policy-binding PROJECT_ID \
--member "serviceAccount:component-access-sa@[PROJECT_ID].iam.gserviceaccount.com" \
--role "roles/iam.roleViewer"