Schritt 7: Synchronizer-Zugriff aktivieren

Autorisierungstoken abrufen

Für die später in diesem Thema beschriebenen Apigee API-Aufrufe benötigen Sie ein Autorisierungstoken mit der Rolle "Administrator der Apigee-Organisation".

Wenn Sie nicht der Inhaber des Google Cloud-Projekts sind, das mit Ihrer Apigee Hybrid-Organisation verknüpft ist, prüfen Sie, ob Ihr Google Cloud-Nutzerkonto die Rolle roles/apigee.admin (Administrator der Apigee-Organisation) hat. Sie können die Ihnen zugewiesenen Rollen mit diesem Befehl prüfen:
```
gcloud projects get-iam-policy ${PROJECT_ID}  \
  --flatten="bindings[].members" \
  --format='table(bindings.role)' \
  --filter="bindings.members:your_account_email"
```
Beispiele:
```
gcloud projects get-iam-policy my-project  \
  --flatten="bindings[].members" \
  --format='table(bindings.role)' \
  --filter="bindings.members:myusername@example.com"
```
Die Ausgabe sollte roles/apigee.admin beinhalten.

Wenn Sie roles/apigee.admin nicht haben, fügen Sie Ihrem Nutzerkonto die Rolle Apigee-Organisationsadministrator hinzu. Verwenden Sie den folgenden Befehl, um Ihrem Nutzerkonto die Rolle hinzuzufügen:

gcloud projects add-iam-policy-binding ${PROJECT_ID} \
  --member user:your_account_email \
  --role roles/apigee.admin

Beispiele:

gcloud projects add-iam-policy-binding my-project \
  --member user:myusername@example.com \
  --role roles/apigee.admin

Rufen Sie in der Befehlszeile die Anmeldedaten der gcloud-Authentifizierung mit dem folgenden Befehl ab:
Linux / MacOS
```
export TOKEN=$(gcloud auth print-access-token)
```
Um zu prüfen, ob Ihr Token ausgefüllt wurde, verwenden Sie echo wie im folgenden Beispiel:
```
echo $TOKEN
```
Das Token sollte als codierter String angezeigt werden.
Windows
```
for /f "tokens=*" %a in ('gcloud auth print-access-token') do set TOKEN=%a
```
Um zu prüfen, ob Ihr Token ausgefüllt wurde, verwenden Sie echo wie im folgenden Beispiel:
```
echo %TOKEN%
```
Das Token sollte als codierter String angezeigt werden.

Synchronizer-Zugriff aktivieren

So aktivieren Sie den Synchronizer-Zugriff:

Rufen Sie die E-Mail-Adresse des Dienstkontos ab, auf das Sie Synchronizer-Zugriff gewähren. Für Nicht-Produktionsumgebungen (wie in dieser Anleitung vorgeschlagen) sollte der Wert apigee-non-prod sein. In Produktionsumgebungen sollte der Wert apigee-synchronizer sein. Verwenden Sie den folgenden Befehl:
```
gcloud iam service-accounts list --project ${PROJECT_ID} --filter "apigee-synchronizer"
```

Rufen Sie die setSyncAuthorization API mit dem folgenden Befehl auf, um die erforderlichen Berechtigungen für Synchronizer zu aktivieren:

curl -X POST -H "Authorization: Bearer ${TOKEN}" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:setSyncAuthorization" \
   -d '{"identities":["'"serviceAccount:apigee-synchronizer@${ORG_NAME}.iam.gserviceaccount.com"'"]}'

Wobei:

${ORG_NAME}: der Name Ihrer Hybridorganisation.
apigee-synchronizer${ORG_NAME}.iam.gserviceaccount.com: die E-Mail-Adresse des Dienstkontos.

Tipp: Einige Shells geben möglicherweise einen Fehler wie bad substitution zurück. Ersetzen Sie in diesem Fall ${ORG_NAME} durch den Namen Ihrer Organisation und "'" durch " so:

curl -X POST -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/YOUR_ORG_NAME:setSyncAuthorization" \
   -d '{"identities":["serviceAccount:apigee-synchronizer@YOUR_ORG_NAME.iam.gserviceaccount.com"]}'

Prüfen Sie, ob das Dienstkonto eingerichtet wurde. Rufen Sie mit dem folgenden Befehl die API auf, um eine Liste der Dienstkonten abzurufen:
```
curl -X GET -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:getSyncAuthorization"
    
```
Die Ausgabe sieht dann ungefähr so aus:
```
{
   "identities":[
      "serviceAccount:apigee-synchronizer@my_project_id.iam.gserviceaccount.com"
   ],
   "etag":"BwWJgyS8I4w="
}
```
Hinweis: Der Aufruf an die Apigee API verwendet ${ORG_NAME}. Die Ergebnisse aus den IAM-Dienstkontozuordnungen verwenden my_project_id. In den meisten Fällen sind die Werte identisch. Eine seltene Ausnahme ist die Verwendung eines Clusters mit mehreren Organisationen, in dem es mehr als einen Organisationsnamen gibt und die Dienstkonten pro Organisation unterschiedlich sein können.

Sie haben jetzt Ihre Apigee Hybrid-Laufzeit- und -Verwaltungsebenen für die Kommunikation aktiviert. Installieren Sie als Nächstes cert-manager, damit Apigee Hybrid Zertifikate interpretieren und verwalten kann.

Nächster Schritt

1 2 3 4 5 6 7 (WEITER) Schritt 8: Cert-manager installieren 9 10 11 12