Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sugli account di servizio

Un account di servizio è un tipo speciale di account in Google Cloud che consente ai componenti e alle applicazioni di un sistema di interagire tra loro e con altre API. Per maggiori informazioni su Google Cloud, consulta Informazioni sui servizi Google Cloud.

Il cloud ibrido utilizza gli account di servizio Google Cloud per eseguire una serie di attività, tra cui:

Invia dati di log e metriche
Richieste di traccia pull
Connettiti al gateway API per le richieste API amministrative
Esegui backup
Scarica bundle proxy

Sebbene un account di servizio potrebbe eseguire tutte queste operazioni, Apigee consiglia di creare più account di servizio, ciascuno assegnato a un'attività specifica e ciascuno con il proprio insieme di autorizzazioni. Questo migliora la sicurezza suddividendo l'accesso e limitando l'ambito e i privilegi di accesso di ogni account di servizio. Come per gli account utente, queste autorizzazioni vengono applicate assegnando uno o più ruoli all'account di servizio.

Account di servizio e ruoli utilizzati dai componenti ibridi

Per funzionare correttamente, Apigee hybrid richiede la creazione di diversi account di servizio. Ogni account di servizio richiede un ruolo o ruoli specifici che lo consentano di svolgere la sua funzione.

La tabella seguente descrive gli account di servizio per i componenti ibridi:

Componente^*	Ruolo	Descrizione
`apigee-cassandra`	Amministratore oggetti Storage	Consente i backup di Cassandra in Google Cloud Storage, come descritto nella sezione Backup e ripristino.
`apigee-logger`	Writer log	Consente la raccolta dei dati, come descritto in Logging. Richiesto solo per le installazioni di cluster non GKE.
`apigee-mart`	Nessun ruolo	Consente l'autenticazione del servizio MART. A questo account di servizio non deve essere associato un ruolo; di conseguenza, quando crei questo account di servizio, non assegnargli un ruolo.
`apigee-metrics`	Writer metriche Monitoring	Consente la raccolta dei dati delle metriche, come descritto in Raccolta delle metriche
`apigee-org-admin`	Amministratore organizzazione Apigee	Consente di chiamare l'API getSyncAuthorization e l'API setSyncAuthorization. Non puoi creare questo account di servizio con lo strumento `create-service-account`.
`apigee-synchronizer`	Gestore del programma di sincronizzazione Apigee	Consente al sincronizzatore di scaricare bundle proxy e dati di configurazione dell'ambiente. Abilita anche il funzionamento della funzionalità di traccia.
`apigee-udca`	Agente di analisi Apigee	Consente il trasferimento di dati di traccia, analisi e stato del deployment al piano di gestione.
^* Questo nome viene utilizzato nel nome file della chiave dell'account di servizio scaricata.

Oltre a creare gli account di servizio elencati in questa tabella, puoi anche scaricare le relative chiavi private. In seguito, utilizzerai queste chiavi per generare token di accesso in modo da poter accedere alle API Apigee.

Crea gli account di servizio

Esistono diversi modi per creare account di servizio, tra cui:

(Consigliato) Strumento create-service-account
Console Google Cloud
SDK gcloud

Ognuna di queste opzioni è descritta nelle sezioni seguenti.

Utilizzare lo strumento di creazione degli account di servizio

Lo strumento create-service-account (disponibile dopo aver scaricato ed espanso apigeectl) crea account di servizio specifici per i componenti ibridi e assegna automaticamente i ruoli richiesti. Lo strumento inoltre scarica automaticamente le chiavi dell'account di servizio e le archivia sulla macchina locale nella directory specificata.

NOTA: lo strumento create-service-account non può creare l'account di servizio apigee-org-admin. Per farlo, devi utilizzare le API di Google Cloud o di Google Cloud.

Per creare account di servizio con lo strumento create-service-account:

Scarica ed espandi apigeectl (se non l'hai già fatto), come descritto in Scaricare e installare apigeectl.
Crea una directory per archiviare le chiavi degli account di servizio. Ad esempio:
```
mkdir ./service-accounts
```
Esegui questi comandi:
```
./tools/create-service-account apigee-metrics ./service-accounts
./tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts
```
Questi comandi creano la maggior parte degli account richiesti e archiviano le relative chiavi nella directory ./service-accounts. Questi comandi non creano l'account di servizio apigee-org-admin.

Se questi comandi non risolvono il problema, assicurati di aver fatto riferimento a una directory esistente in cui archiviare i file delle chiavi.

Per maggiori informazioni sull'utilizzo di create-service-account, consulta Riferimento create-service-account.
Crea l'account di servizio apigee-org-admin. A questo scopo, utilizza la console Google Cloud.

Utilizzare la console Google Cloud

Puoi creare account di servizio con la console Google Cloud.

Per creare account di servizio con la console Google Cloud:

Apri la console Google Cloud e accedi con l'account utente creato nel Passaggio 1: crea un account Google Cloud.
Seleziona il progetto che hai creato nel Passaggio 2: crea un progetto Google Cloud.
Seleziona IAM e amministrazione > Account di servizio.
Nella console viene visualizzata la vista Account di servizio. Questa visualizzazione mostra un elenco degli account di servizio del progetto. Nella maggior parte dei casi, non ci saranno ancora account, anche se l'elenco potrebbe contenere account di servizio predefiniti, a seconda di come hai creato il progetto.
Per creare un nuovo account di servizio, fai clic su +Crea account di servizio nella parte superiore della visualizzazione.
Viene visualizzata la vista Dettagli account di servizio.
Nel campo Nome account di servizio, inserisci il nome dell'account di servizio.
Apigee consiglia di utilizzare un nome che rifletta il ruolo dell'account di servizio; puoi impostare il nome dell'account di servizio in modo che abbia lo stesso nome del componente che lo utilizza. Ad esempio, imposta il nome dell'account di servizio dello strumento di scrittura dei log apigee-logger.

Per saperne di più sui nomi e sui ruoli degli account di servizio, consulta Account di servizio e ruoli utilizzati dai componenti ibridi.

Quando inserisci un nome, Google Cloud genera per te un ID account di servizio univoco, strutturato come un indirizzo email, come illustrato nell'esempio seguente:

Facoltativamente, puoi aggiungere una descrizione nel campo Descrizione account di servizio. Le descrizioni sono utili per ricordarti per cosa viene utilizzato un determinato account di servizio.
Fai clic su Crea.
Google Cloud crea un nuovo account di servizio e visualizza la visualizzazione Autorizzazioni account di servizio, come illustrato nell'esempio seguente:

Utilizza questa visualizzazione per assegnare un ruolo al nuovo account di servizio.
Fai clic sull'elenco a discesa Seleziona un ruolo.
Seleziona il ruolo per l'account di servizio, come descritto in Account di servizio e ruoli utilizzati dai componenti ibridi. Se i ruoli di Apigee non vengono visualizzati nell'elenco a discesa, aggiorna la pagina.
Ad esempio, per il componente di logging, seleziona il ruolo Writer log.

Se necessario, inserisci del testo per filtrare l'elenco dei ruoli per nome. Ad esempio, per elencare solo i ruoli Apigee, inserisci "Apigee" nel campo del filtro, come mostrato nell'esempio seguente:

Puoi aggiungere più di un ruolo a un account di servizio, ma Apigee consiglia di utilizzare un solo ruolo per ciascuno degli account di servizio consigliati. Per modificare i ruoli di un account di servizio dopo averlo creato, utilizza il pannello IAM e amministrazione in Google Cloud.

NOTA: se non vedi i ruoli elencati in Account di servizio consigliati, contatta il tuo rappresentante dell'account Apigee per verificare che il tuo account sia stato configurato correttamente e che sia stato eseguito il provisioning della tua organizzazione.
Fai clic su Continua.
Google Cloud mostra la visualizzazione Concedi agli utenti l'accesso a questo account di servizio:
In Crea chiave (facoltativo), fai clic su Crea chiave.
Google Cloud ti offre la possibilità di scaricare una chiave JSON o P12:
Seleziona JSON (valore predefinito) e fai clic su Crea.
Google Cloud salva il file della chiave in formato JSON sulla tua macchina locale e mostra una conferma dell'esito positivo, come mostrato nell'esempio seguente:

In seguito, utilizzerai alcune delle chiavi dell'account di servizio per configurare i servizi di runtime ibridi. Ad esempio, quando configuri il runtime ibrido, specificherai la località delle chiavi dell'account di servizio utilizzando le proprietà service_name.serviceAccountPath.
Queste chiavi vengono utilizzate dagli account di servizio per ottenere i token di accesso, che questi ultimi utilizzano quindi per effettuare richieste alle API Apigee per tuo conto. (ma per un po' di tempo non è ancora così; per il momento, ricordati solo dove l'hai salvata).
Ripeti i passaggi da 4 a 11 per ogni account di servizio elencato in Account di servizio e ruoli utilizzati dai componenti ibridi (tranne l'account apigee-mart, a cui non è associato alcun ruolo, quindi non assegnargli un ruolo).
Al termine, dovresti avere i seguenti account di servizio (oltre ai valori predefiniti, se presenti):

Nella console Google Cloud, gli account di servizio sono indicati con un'icona .

Dopo aver creato un account di servizio, per aggiungere o rimuovere un ruolo devi utilizzare la visualizzazione IAM e amministratore. Non puoi gestire i ruoli per gli account di servizio nella visualizzazione Account di servizio.

Utilizza le API di creazione dell'account di servizio gcloud

Puoi creare e gestire gli account di servizio con l'API Cloud Identity and Access Management.

Per ulteriori informazioni, consulta Creazione e gestione degli account di servizio.