Questa pagina è stata tradotta dall'API Cloud Translation.

Passaggio 7: attiva l'accesso al programma di sincronizzazione

Ottenere un token di autorizzazione

Per effettuare le chiamate API Apigee descritte più avanti in questo argomento, devi ottenere un token di autorizzazione con il ruolo Amministratore organizzazione Apigee.

Se non sei il proprietario del progetto Google Cloud associato alla tua organizzazione ibrida Apigee, assicurati che il tuo account utente Google Cloud abbia il ruolo roles/apigee.admin (Amministratore organizzazione Apigee). Puoi controllare i ruoli che ti sono stati assegnati con questo comando:
```
gcloud projects get-iam-policy ${PROJECT_ID}  \
  --flatten="bindings[].members" \
  --format='table(bindings.role)' \
  --filter="bindings.members:your_account_email"
```
Ad esempio:
```
gcloud projects get-iam-policy my-project  \
  --flatten="bindings[].members" \
  --format='table(bindings.role)' \
  --filter="bindings.members:myusername@example.com"
```
L'output dovrebbe includere roles/apigee.admin.

Se non hai roles/apigee.admin, aggiungi il ruolo Amministratore organizzazione Apigee al tuo account utente. Utilizza questo comando per aggiungere il ruolo al tuo account utente:

gcloud projects add-iam-policy-binding ${PROJECT_ID} \
  --member user:your_account_email \
  --role roles/apigee.admin

Ad esempio:

gcloud projects add-iam-policy-binding my-project \
  --member user:myusername@example.com \
  --role roles/apigee.admin

Nella riga di comando, recupera le credenziali di autenticazione di gcloud utilizzando il seguente comando:
Linux / MacOS
```
export TOKEN=$(gcloud auth print-access-token)
```
Per verificare che il token sia stato completato, utilizza echo, come illustrato nell'esempio seguente:
```
echo $TOKEN
```
Il token dovrebbe essere visualizzato come stringa codificata.
Windows
```
for /f "tokens=*" %a in ('gcloud auth print-access-token') do set TOKEN=%a
```
Per verificare che il token sia stato completato, utilizza echo, come illustrato nell'esempio seguente:
```
echo %TOKEN%
```
Il token dovrebbe essere visualizzato come stringa codificata.

Abilita accesso sincronizzatore

Per attivare l'accesso al programma di sincronizzazione:

Recupera l'indirizzo email dell'account di servizio a cui stai concedendo l'accesso al programma di sincronizzazione. Per gli ambienti non di produzione (come suggerito in questo tutorial) deve essere apigee-non-prod. Per gli ambienti di produzione, deve essere apigee-synchronizer. Usa questo comando:
```
gcloud iam service-accounts list --project ${PROJECT_ID} --filter "apigee-synchronizer"
```

Chiama l'API setSyncAuthorization per abilitare le autorizzazioni richieste per il programma di sincronizzazione utilizzando questo comando:

curl -X POST -H "Authorization: Bearer ${TOKEN}" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:setSyncAuthorization" \
   -d '{"identities":["'"serviceAccount:apigee-synchronizer@${ORG_NAME}.iam.gserviceaccount.com"'"]}'

Dove:

${ORG_NAME}: il nome della tua organizzazione ibrida.
apigee-synchronizer${ORG_NAME}.iam.gserviceaccount.com: l'indirizzo email dell'account di servizio.

Suggerimento:alcune shell potrebbero restituire un errore come bad substitution. In questo caso, sostituisci ${ORG_NAME} con il nome della tua organizzazione e sostituisci "'" con " come segue:

curl -X POST -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/YOUR_ORG_NAME:setSyncAuthorization" \
   -d '{"identities":["serviceAccount:apigee-synchronizer@YOUR_ORG_NAME.iam.gserviceaccount.com"]}'

Per verificare che l'account di servizio sia stato impostato, usa il comando seguente per chiamare l'API e ottenere un elenco di account di servizio:
```
curl -X GET -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:getSyncAuthorization"
    
```
L'output è simile al seguente:
```
{
   "identities":[
      "serviceAccount:apigee-synchronizer@my_project_id.iam.gserviceaccount.com"
   ],
   "etag":"BwWJgyS8I4w="
}
```
Nota: la chiamata all'API Apigee utilizza ${ORG_NAME}, mentre i risultati delle mappature degli account di servizio IAM utilizzano my_project_id. Nella maggior parte dei casi, i valori sono gli stessi. Un'eccezione non comune si verifica quando si utilizza un cluster multi-organizzazione, in cui è presente più di un nome di organizzazione e gli account di servizio potrebbero essere diversi per ogni organizzazione.

Ora hai abilitato la comunicazione tra i piani di runtime e gestione ibridi di Apigee. Quindi, installa cert-manager per consentire ad Apigee hybrid di interpretare e gestire i certificati.

Passaggio successivo

1 2 3 4 5 {13