Tentang akun layanan

Akun layanan adalah jenis akun khusus di Google Cloud yang memungkinkan komponen dan aplikasi dari suatu sistem untuk berinteraksi satu sama lain dan dengan API lainnya. Untuk informasi selengkapnya tentang Google Cloud, lihat Tentang layanan Google Cloud.

Apigee Hybrid menggunakan akun layanan Google Cloud untuk melakukan berbagai tugas, termasuk:

  • Kirim data log dan metrik
  • Permintaan pengambilan rekaman aktivitas
  • Menghubungkan ke gateway API untuk permintaan API administratif
  • Menjalankan pencadangan
  • Download paket proxy

Meskipun satu akun layanan dapat melakukan semua operasi ini, untuk produksi Apigee merekomendasikan agar Anda membuat beberapa akun layanan, yang masing-masing ditetapkan ke tugas tertentu dan masing-masing dengan seperangkat izin akses sendiri. Hal ini meningkatkan keamanan dengan memisahkan akses dan membatasi ruang lingkup dan hak akses setiap akun layanan. Seperti halnya dengan akun pengguna, izin ini diterapkan dengan menetapkan satu atau beberapa peran ke layanan menggunakan akun layanan.

Agar dapat beroperasi dengan benar, Apigee Hybrid mengharuskan Anda membuat beberapa akun layanan. Masing-masing akun layanan memerlukan satu atau beberapa peran tertentu yang memungkinkannya untuk menjalankan fungsinya.

Tabel berikut menjelaskan akun layanan untuk komponen campuran. Nama-nama yang diberikan untuk nama default untuk setiap akun layanan. Anda dapat menggunakan nama apa pun yang Anda inginkan, tetapi nama tersebut harus mudah diidentifikasi dengan tujuan dari setiap akun.

Komponen* Peran Diperlukan untuk penginstalan dasar? Deskripsi
apigee-cassandra Admin Objek Penyimpanan
roles/storage.objectAdmin		 Mengizinkan pencadangan Cassandra ke Cloud Storage, sebagai yang dijelaskan di Pencadangan dan pemulihan.
apigee-logger Penulis Log
roles/logging.logWriter		 Mengizinkan pengumpulan data logging, seperti yang dijelaskan di Logging. Hanya diperlukan untuk non-GKE penginstalan cluster.
apigee-mart Agen Apigee Connect
roles/apigeeconnect.Agent		 Mengizinkan autentikasi layanan MART. Peran Agen Apigee Connect memungkinkan komunikasi secara aman dengan proses Apigee Connect, seperti yang dijelaskan dalam Menggunakan Apigee Connect.
apigee-metrics Penulis Metrik Pemantauan
roles/monitoring.metricWriter		 Mengizinkan pengumpulan data metrik, seperti yang dijelaskan dalam Metrics ringkasan pengumpulan.
apigee-runtime Peran tidak diperlukan Mengizinkan runtime hybrid Apigee untuk terhubung ke layanan Google dan layanan kustom di Google Cloud, seperti Google Authentication, Google Cloud Trace, dan Jaeger.
apigee-synchronizer Sinkronisasi Apigee Manager
roles/apigee.synchronizerManager		 Mengizinkan sinkronisasi mendownload paket proxy dan konfigurasi lingkungan layanan otomatis dan data skalabel. Juga mengaktifkan pengoperasian fitur rekaman aktivitas.
apigee-udca Agen Analisis Apigee
roles/apigee.analyticsAgent		 Memungkinkan transfer data trace, analisis, dan status deployment ke manajemen pesawat terbang.
apigee-watcher Agen Runtime Apigee
roles/apigee.runtimeAgent		 Apigee Watcher mengambil perubahan terkait {i>host<i} virtual untuk suatu organisasi dari {i>synchron<i} dan membuat perubahan yang diperlukan untuk mengonfigurasi ingress istio.
* Nama ini digunakan di akun layanan yang didownload nama file kunci.

Sebagai alternatif, untuk lingkungan non-produksi, pengujian, dan demo, Anda dapat menggunakan satu layanan dengan semua peran yang ditetapkan pada akun tersebut. Tindakan ini tidak direkomendasikan untuk lingkungan produksi.

Komponen* Peran Diperlukan untuk penginstalan dasar? Deskripsi
apigee-non-prod Agen Apigee Analytics, Agen Apigee Connect, Admin Organisasi Apigee, Agen Runtime Apigee, Apigee Synchronizer Manager, Cloud Trace Agent, Logs Writer, Monitoring Metric Writer, Storage Object Admin Atau semua SA yang diperlukan di atas Satu akun layanan untuk lingkungan pengujian atau demo. Lihat Penginstalan, Bagian 2, Langkah 5: Buat layanan akun Google.

Selain membuat akun layanan yang tercantum dalam tabel ini, Anda akan menggunakan setiap akun kunci pribadi untuk menghasilkan token akses, sehingga Anda dapat mengakses API Apigee. Tujuan Alat create-service-account otomatis mendownload file kunci ke dalam direktori di komputer lokal Anda saat membuat atau memperbarui akun layanan.

Membuat akun layanan

Ada beberapa cara untuk membuat akun layanan, antara lain:

Masing-masing dijelaskan di bagian berikut.

Menggunakan alat create-service-account

Alat create-service-account tersedia setelah Anda unduh dan kembangkan Helm hibrida Apigee Diagram atau apigeectl. Anda dapat menemukan alat create-service-account di direktori berikut:

  • Untuk penginstalan Chart Helm: 
    APIGEE_HELM_CHARTS_HOME/
└── apigee-operator/
    └── etc/
        └── tools/
            └── create-service-account
  • Untuk penginstalan apigeectl: 
    APIGEECTL_HOME/
└── tools/
    └── create-service-account

create-service-account membuat akun layanan khusus komponen campuran dan menetapkan peran yang dibutuhkan untuk Anda. Alat ini juga akan otomatis mendownload akun layanan kunci dan menyimpannya di komputer lokal Anda.

Misalnya, perintah berikut akan membuat semua akun layanan individu yang terpisah untuk lingkungan production, menetapkan peran IAM yang sesuai untuk setiap akun layanan, dan mendownload file kunci pribadi setiap akun ke direktori ./service-accounts:

./tools/create-service-account --env prod

Perintah berikut membuat satu akun layanan bernama apigee-non-prod dengan semua IAM peran untuk semua komponen hybrid, cocok untuk lingkungan demo dan pengujian, tetapi tidak untuk lingkungan produksi: 

./tools/create-service-account --env non-prod

Untuk informasi selengkapnya tentang penggunaan create-service-account, lihat referensi create-service-account.

Menggunakan konsol Google Cloud

Anda dapat membuat akun layanan dengan Konsol Google Cloud.

Untuk membuat akun layanan dengan konsol Google Cloud dan membuat kunci untuk akun layanan Anda, lakukan tindakan berikut:

  1. Buat akun layanan:

    1. Di Konsol Cloud, buka halaman Service Accounts.

      Buka Akun Layanan

    2. Pilih project Anda.
    3. Klik Buat akun layanan.

    4. Di kolom Nama akun layanan, masukkan nama. Tujuan Cloud Console mengisi kolom ID akun layanan berdasarkan nama ini.

      Apigee merekomendasikan agar Anda menggunakan nama yang mencerminkan peran akun layanan; Anda dapat menyetel nama akun layanan menjadi nama yang sama dengan komponen yang menggunakannya. Misalnya, tetapkan nama akun layanan Penulis Log apigee-logger.

      Untuk informasi selengkapnya tentang nama dan peran akun layanan, lihat Akun dan peran layanan yang digunakan oleh komponen campuran.

    5. Opsional: Di kolom Deskripsi akun layanan, masukkan deskripsi untuk akun layanan. Deskripsi sangat membantu untuk mengingatkan Anda tentang layanan tertentu akun yang digunakan.
    6. Klik Buat dan lanjutkan.

    7. Klik kolom Pilih peran, lalu pilih peran, seperti yang dijelaskan di Akun dan peran layanan yang digunakan oleh komponen campuran. Jika peran Apigee tidak muncul di menu drop-down, muat ulang halaman.

      Misalnya, untuk komponen logging, pilih peran Logs Writer.

      Jika perlu, masukkan teks untuk memfilter daftar peran berdasarkan nama. Misalnya, untuk hanya mencantumkan peran Apigee, masukkan Apigee di kolom filter.

      Anda dapat menambahkan lebih dari satu peran ke akun layanan, tetapi Apigee hanya merekomendasikan untuk menggunakan satu peran untuk setiap akun layanan yang direkomendasikan. Untuk mengubah peran akun layanan setelah Anda membuatnya, gunakan IAM di Konsol Cloud.

    8. Klik Lanjutkan.

      Google Cloud akan menampilkan tampilan Beri pengguna akses ke akun layanan ini:

      Kolom untuk peran pengguna Akun layanan dan peran Admin akun layanan, tombol untuk Buat kunci

    9. Pada bagian Create key (optional), klik Create Key.

      Google Cloud memberi Anda opsi untuk mendownload kunci JSON atau P12:

      Pilih jenis kunci JSON atau P12

    10. Pilih JSON (default), lalu klik Create.

      Google Cloud menyimpan file kunci dalam format JSON ke komputer lokal Anda dan menampilkan konfirmasi saat itu berhasil, seperti yang ditunjukkan contoh berikut:

      Contoh namafile.json

      Anda nanti akan menggunakan beberapa kunci akun layanan untuk mengonfigurasi layanan runtime hybrid. Misalnya, saat mengonfigurasi runtime hybrid, Anda akan menentukan lokasi layanan kunci akun menggunakan properti SERVICE_NAME.serviceAccountPath.

      Kunci ini digunakan oleh akun layanan untuk mendapatkan token akses, yang mana akun layanan digunakan untuk membuat permintaan terhadap API Apigee atas nama Anda. (Tapi itu bukan untuk sementara namun; untuk saat ini, cukup ingat di mana Anda menyimpannya.)

    11. Ulangi langkah 4 hingga 11 untuk setiap akun layanan yang tercantum dalam Akun dan peran layanan yang digunakan oleh komponen campuran (kecuali akun apigee-mart—yang tidak memiliki peran yang terkait—jadi tidak menetapkan perannya).

      Setelah selesai, Anda akan memiliki akun layanan berikut (selain default, jika ada):

      Daftar akun layanan. Kotak pilihan Kolom 1, kolom 2 Email, kolom 3 Status, kolom 4 nama akun layanan

      Di Konsol Google Cloud, akun layanan ditunjukkan dengan Ikon tombol samping kiri, sisi kanan setengah persegi panjang, semua digarisbawahi.

    Setelah membuat akun layanan, jika ingin menambahkan atau menghapus peran ke akun tersebut, Anda harus menggunakan IAM & Admin. Anda tidak dapat mengelola peran untuk akun layanan di Tampilan Akun layanan.

    Menggunakan API pembuatan akun layanan gcloud

    Anda dapat membuat dan mengelola akun layanan dengan Cloud Identity and Access Management API.

    Untuk informasi selengkapnya, lihat Membuat dan mengelola akun layanan.

    Pemecahan masalah