Questa pagina è stata tradotta dall'API Cloud Translation.

Passaggio 7: abilita l'accesso del sincronizzatore

Recuperare un token di autorizzazione

Per effettuare le chiamate API Apigee descritte più avanti in questo argomento, devi ottenere un token di autorizzazione con il ruolo Amministratore organizzazione Apigee.

Se non sei il proprietario del progetto Google Cloud associato alla tua organizzazione ibrida Apigee, assicurati che il tuo account utente Google Cloud abbia il ruolo roles/apigee.admin (Amministratore organizzazione Apigee). Puoi controllare i ruoli che ti sono stati assegnati con questo comando:
```
gcloud projects get-iam-policy ${PROJECT_ID}  \
  --flatten="bindings[].members" \
  --format='table(bindings.role)' \
  --filter="bindings.members:your_account_email"
```
Ad esempio:
```
gcloud projects get-iam-policy my-project  \
  --flatten="bindings[].members" \
  --format='table(bindings.role)' \
  --filter="bindings.members:myusername@example.com"
```
L'output dovrebbe includere roles/apigee.admin.

Se non hai roles/apigee.admin, aggiungi il ruolo Amministratore organizzazione Apigee al tuo account utente. Utilizza il comando seguente per aggiungere il ruolo al tuo account utente:

gcloud projects add-iam-policy-binding ${PROJECT_ID} \
  --member user:your_account_email \
  --role roles/apigee.admin

Ad esempio:

gcloud projects add-iam-policy-binding my-project \
  --member user:myusername@example.com \
  --role roles/apigee.admin

Nella riga di comando, recupera le credenziali di autenticazione gcloud utilizzando il seguente comando:
Linux e MacOS
```
export TOKEN=$(gcloud auth print-access-token)
```
Per verificare che il token sia stato compilato, utilizza echo, come mostrato nell'esempio seguente:
```
echo $TOKEN
```
Il token dovrebbe essere visualizzato come stringa codificata.
Windows
```
for /f "tokens=*" %a in ('gcloud auth print-access-token') do set TOKEN=%a
```
Per verificare che il token sia stato compilato, utilizza echo, come mostrato nell'esempio seguente:
```
echo %TOKEN%
```
Il token dovrebbe essere visualizzato come stringa codificata.

Abilita l'accesso per sincronizzare

Per abilitare l'accesso al sincronizzatore:

Ottieni l'indirizzo email per l'account di servizio a cui stai concedendo l'accesso per la sincronizzazione. Per gli ambienti non di produzione (come suggerito in questo tutorial) dovrebbe essere apigee-non-prod. Per gli ambienti di produzione, il valore deve essere apigee-synchronizer. Utilizza questo comando:
```
gcloud iam service-accounts list --project ${PROJECT_ID} --filter "apigee-synchronizer"
```
Chiama l'API setSyncAuthorization per abilitare le autorizzazioni richieste per synchronousr utilizzando il seguente comando:
Nessuna residenza dei dati
```
curl -X POST -H "Authorization: Bearer ${TOKEN}" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:setSyncAuthorization" \
   -d '{"identities":["'"serviceAccount:apigee-synchronizer@${ORG_NAME}.iam.gserviceaccount.com"'"]}'
```
Dove:
- ${ORG_NAME}: il nome della tua organizzazione ibrida.
- apigee-synchronizer${ORG_NAME}.iam.gserviceaccount.com: l'indirizzo email dell'account di servizio.
Suggerimento: alcune shell potrebbero restituire un errore come bad substitution. In questo caso, sostituisci ${ORG_NAME} con il nome della tua organizzazione e sostituisci "'" con " come segue:
```
curl -X POST -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/YOUR_ORG_NAME:setSyncAuthorization" \
   -d '{"identities":["serviceAccount:apigee-synchronizer@YOUR_ORG_NAME.iam.gserviceaccount.com"]}'
```
Residenza dei dati
```
curl -X POST -H "Authorization: Bearer ${TOKEN}" \
  -H "Content-Type:application/json" \
  "https://$CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations/${ORG_NAME}:setSyncAuthorization" \
   -d '{"identities":["'"serviceAccount:apigee-synchronizer@${ORG_NAME}.iam.gserviceaccount.com"'"]}'
```
Dove:
- CONTROL_PLANE_LOCATION: la località per i dati del piano di controllo se la tua installazione ibrida utilizza la residente dei dati. Questa è la posizione in cui sono archiviati i contenuti principali dei clienti, come i bundle proxy. Per un elenco, vedi Regioni disponibili del piano di controllo dell'API Apigee.
- ${ORG_NAME}: il nome della tua organizzazione ibrida.
- apigee-synchronizer${ORG_NAME}.iam.gserviceaccount.com: l'indirizzo email dell'account di servizio.
Suggerimento: alcune shell potrebbero restituire un errore come bad substitution. In questo caso, sostituisci ${ORG_NAME} con il nome della tua organizzazione e "'" con " come segue:
```
curl -X POST -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://$CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations/YOUR_ORG_NAME:setSyncAuthorization" \
   -d '{"identities":["serviceAccount:apigee-synchronizer@YOUR_ORG_NAME.iam.gserviceaccount.com"]}'
```
Per verificare che l'account di servizio sia stato impostato, utilizza il comando seguente per chiamare l'API e visualizzare un elenco di account di servizio:
Nessuna residenza dei dati
```
curl -X GET -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:getSyncAuthorization"
    
```
Residenza dei dati
```
curl -X GET -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://CONTROL_PLANE_LOCATION-apigee.googleapis.com/v1/organizations/${ORG_NAME}:getSyncAuthorization"
    
```
L'output è simile al seguente:
```
{
   "identities":[
      "serviceAccount:apigee-synchronizer@my_project_id.iam.gserviceaccount.com"
   ],
   "etag":"BwWJgyS8I4w="
}
```
Nota: la chiamata all'API Apigee utilizza ${ORG_NAME} e i risultati delle mappature degli account di servizio IAM utilizzano my_project_id. Nella maggior parte dei casi, i valori sono gli stessi. Un'eccezione non comune è l'utilizzo di un cluster multi-organizzazione in cui potrebbe essere presente più di un nome di organizzazione e gli account di servizio potrebbero essere diversi a seconda dell'organizzazione.

Ora hai abilitato la comunicazione tra il runtime ibrido e i piani di gestione Apigee. Successivamente, installa cert-manager per consentire ad Apigee hybrid di interpretare e gestire i certificati.

Passaggio successivo

1 2 3 4 5 6 7 /} 7 /}

Passaggio 7: abilita l'accesso del sincronizzatore

Recuperare un token di autorizzazione

Linux e MacOS

Windows

Abilita l'accesso per sincronizzare

Nessuna residenza dei dati

Residenza dei dati

Nessuna residenza dei dati

Residenza dei dati

Passaggio successivo