- v1.12 (più recente)
- Versione 1.11
- Versione 1.10
- Elenco delle versioni supportate
- Versione 1.9
- Versione 1.8
- Versione 1.7
- Versione 1.6
- Versione 1.5
- Versione 1.4
- Versione 1.3
- Versione 1.2
- Versione 1.1
Versioni supportate:
Versioni non supportate:
Panoramica di create-serice-account
create-serice-account è uno strumento a riga di comando fornito con Apigee hybrid che
crea account di servizio Google Cloud con ruoli che
consentono a singoli componenti ibridi di Apigee di effettuare chiamate API autorizzate e scarica i
file delle chiavi degli account di servizio associati. Puoi utilizzare i file della chiave dell'account di servizio generati da questo comando nel file di override della configurazione.
create-service-account crea uno o più account di servizio
nel progetto Google Cloud attuale o nel progetto specificato, assegna il
ruolo IAM corretto all'account di servizio e scarica il
file del certificato in una directory sulla macchina locale.
Per scoprire di più sugli account di servizio e leggere l'elenco completo degli account di servizio consigliati per gli ambienti di produzione, consulta quanto segue:
Puoi creare account di servizio anche nella console Google Cloud. Vedi anche Creazione e gestione degli account di servizio.
Prerequisiti
Ruolo
Lo strumento create-service-account richiede l'installazione dell'interfaccia a riga di comando gcloud. Gli utenti che richiamano l'utilità devono avere il ruolo Service Account Admin.
Progetto
Gli account di servizio sono associati a un progetto Google Cloud specifico. create-service-account crea gli account di servizio nel progetto attuale o in quello specificato e associa i ruoli IAM agli account di servizio all'interno di quel progetto. create-service-account utilizza l'ID progetto anche come parte del nome file e dell'indirizzo email della chiave dell'account di servizio. Ad esempio, se il progetto è denominato my-hybrid-project, il file di chiave dell'account di servizio apigee-logger sarà denominato my-hybrid-project-apigee-logger.json e l'indirizzo email dell'account di servizio sarà apigee-logger@my-hybrid-project.iam.gserviceaccount.com.
Puoi specificare un progetto definendo una variabile di ambiente PROJECT_ID o con il
flag --project-id. create-service-account legge il valore della variabile di ambiente PROJECT_ID. Se non è presente, puoi utilizzare il flag --project-id.
Se non specifichi un ID progetto Cloud, create-service-account utilizza il progetto nell'attuale configurazione del progetto gcloud.
Puoi controllare la configurazione attuale del progetto gcloud impostata con il seguente comando:
gcloud config list project
Se devi modificare l'ID progetto corrente, utilizza il seguente comando:
gcloud config set project PROJECT_ID
Dove PROJECT_ID è l'ID del tuo progetto Cloud attuale. Le istruzioni per creare un progetto Cloud sono descritte nel Passaggio 2: crea un progetto Google Cloud.
Posizione file
A seconda dello strumento che stai utilizzando per installare e gestire Apigee hybrid, create-service-account
è disponibile nelle seguenti directory:
- Grafici Helm:
$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/ apigeectl:$APIGEECTL_HOME/apigeectl/tools/
La verifica dello strumento create-service-account è eseguibile
Verifica di poter eseguire create-service-account. Se hai appena scaricato i grafici Helm di Apigee, gli strumenti a riga di comando potrebbero non essere in modalità eseguibile. Passa alla directory in cui è installato create-service-account e verifica che sia eseguibile eseguendolo con --help:
./create-service-account --help
Se l'output indica permission denied, devi rendere il file eseguibile, ad esempio con chmod in Linux, MacOS o UNIX, in Esplora risorse o con il comando icacls in Windows. Ad esempio:
chmod +x ./create-service-account
Uso: create-service-account
I seguenti esempi mostrano l'utilizzo di create-service-account per le attività di configurazione comuni di Apigee hybrid.
Creazione di account di servizio per un ambiente di produzione
In un ambiente ibrido di produzione, Apigee consiglia di utilizzare un account di servizio separato per ogni componente. Utilizza il comando seguente per creare tutti gli account di servizio per i componenti ibridi con i relativi nomi predefiniti nella directory predefinita.
./tools/create-service-account --env prod
Verranno creati i seguenti account di servizio con i file dei certificati scaricati nella
directory ./tools/service-accounts:
| Account di servizio | Ruolo IAM | File di certificazione | |
|---|---|---|---|
apigee-cassandra |
roles/storage.objectAdmin |
apigee-cassandra@PROJECT_ID.iam.gserviceaccount.com |
PROJECT_ID-apigee-cassandra.json |
apigee-logger |
roles/logging.logWriter |
apigee-logger@PROJECT_ID.iam.gserviceaccount.com |
PROJECT_ID-apigee-logger.json |
apigee-mart |
roles/apigeeconnect.Agent |
apigee-mart@PROJECT_ID.iam.gserviceaccount.com |
PROJECT_ID-apigee-mart.json |
apigee-metrics |
roles/monitoring.metricWriter |
apigee-metrics@PROJECT_ID.iam.gserviceaccount.com |
PROJECT_ID-apigee-metrics.json |
apigee-runtime |
Nessun ruolo assegnato | apigee-runtime@PROJECT_ID.iam.gserviceaccount.com |
PROJECT_ID-apigee-runtime.json |
apigee-synchronizer |
roles/apigee.synchronizerManager |
apigee-synchronizer@PROJECT_ID.iam.gserviceaccount.com |
PROJECT_ID-apigee-synchronizer.json |
apigee-udca |
roles/apigee.analyticsAgent |
apigee-udca@PROJECT_ID.iam.gserviceaccount.com |
PROJECT_ID-apigee-udca.json |
apigee-watcher |
roles/apigee.runtimeAgent |
apigee-watcher@PROJECT_ID.iam.gserviceaccount.com |
PROJECT_ID-apigee-watcher.json |
Creare un singolo account di servizio per un ambiente non di produzione
Per gli ambienti non di produzione, ad esempio sperimentale o demo, puoi creare un singolo account di servizio denominato "apigee-non-prod" da utilizzare per tutti i componenti. A questo account di servizio saranno assegnati tutti i ruoli IAM dell'esempio precedente.
./tools/create-service-account --env non-prod
Verrà creato un singolo account di servizio denominato apigee-non-prod e verrà scaricato il file del certificato nella directory ./tools/service-accounts:
| Account di servizio | Ruoli IAM | File di certificazione | |
|---|---|---|---|
apigee-non-prod |
roles/apigee.analyticsAgent |
apigee-non-prod@PROJECT_ID.iam.gserviceaccount.com |
PROJECT_ID-apigee-non-prod.json |
create-service-account syntax
Lo strumento create-service-account utilizza la seguente sintassi:
create-service-account [flags]
Nella tabella seguente sono elencati i flag create-service-account:
| Flag | Valori | Descrizione |
|---|---|---|
--dir-d |
nome directory | Specifica una directory di output per i file delle chiavi dell'account di servizio. Se la directory non esiste, create-service-account la creerà. Se la directory esiste già, create-service-account sovrascriverà tutti i file che hanno lo stesso nome dei file della chiave che sta creando.
Se non specifichi una directory di output, |
--env-e |
prodnon-prod |
Specifica se stai creando account di servizio per un ambiente di produzione (prod) o un ambiente non di produzione (non-prod).
Se esegui |
--help-h |
none | Visualizza il testo della guida. |
--name-n |
nome dell'account di servizio | Specifica un nome per l'account di servizio. --name si applica solo a un singolo
account di servizio, specificato con --profile o --env non-prod.
Il nome fa parte anche del nome del file del certificato e dell'indirizzo email dell'account di servizio. Ad esempio, se esegui
Se non specifichi |
‑‑profile-p |
apigee‑cassandraapigee‑loggerapigee‑martapigee‑metricsapigee‑runtimeapigee‑synchronizerapigee‑udcaapigee‑watcher |
Solo per ambienti di produzione, specifica un singolo account di servizio da creare.
Puoi specificare un nome per l'account di servizio con il flag
Richiede |
‑‑project‑id-i |
ID progetto | L'ID del progetto Google Cloud in cui stai creando gli account di servizio.
Se non specifichi un ID progetto, |
Per maggiori informazioni sugli account di servizio utilizzati da Apigee hybrid, consulta Informazioni sugli account di servizio.
Puoi creare account di servizio anche nella console Google Cloud. Vedi anche Creazione e gestione degli account di servizio.