個々の Apigee ハイブリッド コンポーネントが認証された API 呼び出しを行えるようにするため、適切なロールが付与された Google Cloud Platform(GCP)サービス アカウントを作成し、そのアカウントに関連付けられたサービス アカウント キーファイルをダウンロードします。このコマンドによって生成されたサービス アカウント キーファイルは、構成オーバーライド ファイルで使用できます。
create-service-account
ツールは hybrid_root_dir/tools
ディレクトリにあります。
要件
create-service-account
ツールを使用するには、gcloud CLI をインストールする必要があります。このユーティリティを呼び出すユーザーには、ロール Service Account Admin
が必要です。
はじめに、ステップ 2: Google Cloud プロジェクトを作成するで作成したプロジェクトに gcloud
プロジェクト構成が設定されていることを確認します。
gcloud config list project
現在のプロジェクト ID を変更する必要がある場合は、次のコマンドを使用します。
gcloud config set project gcp_project_id
ここで gcp_project_id は、ステップ 2: Google Cloud プロジェクトを作成するで作成したプロジェクトです。
create-service-account の構文
create-service-account
ツールの構文は次のとおりです。
create-service-account component-name output-dir [gcp_project_id]
ここで
- hybrid_service: サービス アカウントを使用するハイブリッド サービスを指定します。指定できる値は次のとおりです。
apigee-cassandra
apigee-logger
apigee-mart
apigee-metrics
apigee-synchronizer
apigee-udca
なお、
create-service-account
ツールでapigee-org-admin
サービス アカウントを作成することはできません。このサービス アカウントを作成するには、GCP または gCloud APIs を使用する必要があります。詳細については、サービス アカウントを作成するをご覧ください。 - output_dir: ダウンロードされたサービス アカウント キーを保存する出力ディレクトリ。
- gcp_project_id:(省略可)ハイブリッド対応組織にバインドされているプロジェクトの GCP プロジェクト ID を指定します。GCP プロジェクト ID が指定されていない場合、ツールは現在の gcloud 構成からプロジェクト ID を取得します。
詳細な説明
create-service-account
ツールは次の処理を行います。
- ハイブリッド コンポーネントによって使用される GCP サービス アカウントを作成します。作成されたサービス アカウントには、その特定のコンポーネントが動作するために必要なロールが付与されます。
- サービス アカウント キーをシステムにダウンロードします。ハイブリッドインストール手順で説明されているように、このサービス アカウント キーをハイブリッド構成オーバーライド ファイルに設定します。
このツールは、次のコンポーネントのサービス アカウントを作成します。
コンポーネント* | ロール | 基本インストールでの要否 | 説明 |
---|---|---|---|
apigee-cassandra |
ストレージのオブジェクト管理者 | Cassandra に Google Cloud Storage へのバックアップを可能にします(バックアップと復元を参照)。 | |
apigee-logger |
ログ書き込み | ロギングデータの収集を可能にします(ロギングを参照)。クラスタが GKE 以外にインストールされている場合にのみ必要です。 | |
apigee-mart |
ロールなし | MART サービスの認証を可能にします。このサービス アカウントにロールは必要ありません。そのため、このサービス アカウントの作成時にロールを割り当てないでください。 | |
apigee-metrics |
モニタリング指標の書き込み | 指標データの収集を可能にします(指標の収集を参照)。 | |
apigee-org-admin |
Apigee 組織管理者 | ユーザーが getSyncAuthorization API と setSyncAuthorization API を呼び出せるようにします。create-service-account ツールを使用してこのサービス アカウントを作成することはできません。 |
|
apigee-synchronizer |
Apigee Synchronizer 管理者 | Synchronizer がプロキシ バンドルと環境構成データをダウンロードできるようにします。また、トレース機能も有効にします。 | |
apigee-udca |
Apigee Analytics エージェント | トレース、分析、デプロイのステータス データを管理プレーンに転送できるようにします。 | |
* この名前は、ダウンロードされたサービス アカウント キーのファイル名で使用されます。 |
GCP Console でサービス アカウントを作成することもできます。サービス アカウントの作成と管理もご覧ください。
例
次の例では、apigee-logger
サービス用の新しいサービス アカウントを作成し、ダウンロードされたキーファイルを ./service-accounts
ディレクトリに配置します。
./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts