Apigee Hybrid memberikan validasi yang memastikan lokasi akun layanan Anda tombol sudah benar dan akun tersebut memiliki izin yang sesuai di project Google Cloud Anda. Validasi ini diaktifkan secara default.
Bagian ini menjelaskan cara mengaktifkan atau menonaktifkan validasi akun layanan. Selain itu, langkah ini memastikan bahwa Anda memiliki API yang tepat diaktifkan untuk project Google Cloud sehingga validasi berhasil.
Aktifkan validasi izin akun layanan
Untuk mengaktifkan validasi izin:
- Pastikan tombol
Cloud Resource Manager API diaktifkan untuk project Google Cloud Anda:
- Buka Konsol Google Cloud dan login dengan akun yang Anda buat di Langkah 1: Buat akun Google Cloud.
- Pilih project yang Anda buat di Langkah 2: Buat project Google Cloud.
- Pilih API & Layanan > Library.
- Telusuri "Cloud Resource Manager".
- Temukan layanan Cloud Resource Manager API, lalu klik layanan tersebut.
- Jika belum diaktifkan, klik Enable.
Anda juga dapat mengaktifkan API menggunakan gcloud:
gcloud services enable cloudresourcemanager.googleapis.com --project GCP_PROJECT_ID
- Dalam file penggantian, tambahkan properti
validateServiceAccounts
dan tetapkan ketrue
. Contoh:... # Enables strict validation of service account permissions. validateServiceAccounts: true ...
Saat validasi diaktifkan, setiap kali Anda menerapkan perubahan konfigurasi ke Komponen runtime hybrid Apigee ke cluster Anda, diagram Helm memvalidasi akun layanan yang disertakan dalam mengganti file.
Memecahkan masalah error validasi
Jika validasi gagal, deployment runtime akan berhenti, dan helm upgrade
atau
helm install
keluar. Untuk memecahkan masalah kegagalan akun layanan, sebaiknya
perlu diketahui bahwa validasi memeriksa izin dalam urutan ini:
- Izin di project ID.
- (Hanya untuk UDCA dan Synchronizer) Jika pemeriksaan izin pada project gagal, validasi
melanjutkan pemeriksaan izin terhadap kebijakan
Kebijakan IAM. SA ini adalah
cakupan lingkungan dan lingkungan
mendukung izin yang lebih terperinci.
Guna memperbarui kebijakan IAM untuk lingkungan tertentu, buka UI hybrid. Buka Admin > Lingkungan > Akses
Misalnya, berikut adalah pesan error untuk pemeriksaan izin yang gagal:
Invalid Metrics Service Account. Service Account "apigee-metrics@hybrid-project." is missing 1 or more required permissions [monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create]. Visit Service accounts and roles used by hybrid components for more details on setting up Apigee hybrid service account permissions.
Untuk mengatasi error ini, tambahkan peran yang diperlukan ke akun layanan. Sebagai informasi tentang cara membuat dan mengubah akun layanan, lihat Buat akun layanan. Untuk memeriksa izin yang diperlukan untuk setiap komponen hybrid Apigee, lihat Akun dan peran layanan yang digunakan oleh komponen campuran.
Nonaktifkan validasi izin
Untuk menonaktifkan validasi izin akun layanan, setel validationServiceAccounts
dalam file penggantian ke false
, seperti yang ditunjukkan contoh berikut:
... # Enables strict validation of service account permissions. validateServiceAccounts: false ...