create-service-account

개별 Apigee Hybrid 구성요소가 승인된 API 호출을 수행하고 연결된 서비스 계정 키 파일을 다운로드할 수 있는 역할이 할당된 Google Cloud Platform(GCP) 서비스 계정을 만듭니다. 구성 재정의 파일에서 이 명령어로 생성된 서비스 계정 키 파일을 사용할 수 있습니다.

create-service-account 도구는 hybrid_root_dir/tools 디렉터리에 있습니다.

기본 요건

create-service-account 도구를 사용하려면 gcloud CLI가 설치되어 있어야 합니다. 유틸리티를 호출하는 사용자에게는 Service Account Admin 역할이 부여되어야 합니다.

시작하려면 gcloud 프로젝트 구성이 2단계: Google Cloud 프로젝트 만들기에서 만든 프로젝트로 설정되어 있는지 확인합니다.

gcloud config list project

현재 프로젝트 ID를 변경해야 하는 경우 다음 명령어를 사용합니다.

gcloud config set project gcp_project_id

여기서 gcp_project_id는 2단계: Google Cloud 프로젝트 만들기에서 만든 프로젝트입니다.

create-service-account 구문

create-service-account 도구는 다음 구문을 사용합니다.

create-service-account component_name output_dir [gcp_project_id]

각 항목의 의미는 다음과 같습니다.

component_name: 서비스 계정을 사용하는 하이브리드 서비스를 지정합니다. 유효한 값은 다음과 같습니다.
- apigee-cassandra
- apigee-logger
- apigee-mart
- apigee-metrics
- apigee-synchronizer
- apigee-udca
create-service-account 도구는 apigee-org-admin 서비스 계정을 만들 수 없습니다. 서비스 계정 만들기에 설명된 대로 GCP 또는 gCloud API를 사용하여 계정을 만들어야 합니다.
output_dir: 다운로드한 서비스 계정 키를 저장할 출력 디렉터리입니다.
gcp_project_id: (선택사항) 하이브리드 지원 조직에 결합된 프로젝트의 GCP 프로젝트 ID를 지정합니다. GCP 프로젝트 ID를 지정하지 않으면 현재 gcloud 구성에서 ID가 검색됩니다.

참고: apigee-mart의 서비스 계정을 생성하면 다음 오류가 표시됩니다.

[ERROR]: No roles found for component apigee-mart

오류를 무시해도 됩니다. MART의 서비스 계정에는 역할이 필요하지 않으며 할당된 역할이 없는 상태로 생성됩니다.

상세 설명

create-service-account 도구는 다음과 같습니다.

하이브리드 구성요소에서 사용하는 GCP 서비스 계정을 만듭니다. 생성된 서비스 계정에는 특정 구성요소가 작동하는 데 필요한 역할이 부여됩니다.
서비스 계정 키를 시스템에 다운로드합니다. 하이브리드 설치 안내에 설명된 대로 하이브리드 구성 재정의 파일에 서비스 계정 키를 배치합니다.

이 도구는 다음 구성요소의 서비스 계정을 만듭니다.

구성요소^*	역할	설명
`apigee-cassandra`	스토리지 객체 관리자	백업 및 복구에 설명된 대로 Google Cloud Storage로 Cassandra 백업을 허용합니다.
`apigee-logger`	로그 작성자	Logging에 설명된 대로 로깅 데이터 수집을 허용합니다. 비GKE 클러스터 설치에만 필요합니다.
`apigee-mart`	역할 없음	MART 서비스 인증을 허용합니다. 이 서비스 계정에 연결된 역할이 없어야 합니다. 따라서 이 서비스 계정을 만들 때 역할을 할당하지 마세요.
`apigee-metrics`	모니터링 측정항목 작성자	측정항목 수집에 설명된 대로 측정항목 데이터 수집을 허용합니다.
`apigee-org-admin`	Apigee 조직 관리자	getSyncAuthorization API 및 setSyncAuthorization API를 호출할 수 있습니다. `create-service-account` 도구로는 이 서비스 계정을 만들 수 없습니다.
`apigee-synchronizer`	Apigeer 동기화 담당자 관리자	동기화 담당자가 프록시 번들 및 환경 구성 데이터를 다운로드하도록 허용합니다. 또한 trace 기능의 작업을 사용 설정합니다.
`apigee-udca`	Apigee 애널리틱스 에이전트	trace, 분석, 배포 상태 데이터를 관리 영역에 전송할 수 있습니다.
^* 이 이름은 다운로드한 서비스 계정 키의 파일 이름에 사용됩니다.

GCP Console에서 서비스 계정을 만들 수도 있습니다. 서비스 계정 만들기 및 관리도 참조하세요.

예

다음 예시에서는 apigee-logger 서비스의 새 서비스 계정을 만들고 다운로드한 키를 ./service-accounts 디렉터리에 배치합니다.

./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts