개별 Apigee Hybrid 구성요소가 승인된 API 호출을 수행하고 연결된 서비스 계정 키 파일을 다운로드할 수 있는 역할이 할당된 Google Cloud Platform(GCP) 서비스 계정을 만듭니다. 구성 재정의 파일에서 이 명령어로 생성된 서비스 계정 키 파일을 사용할 수 있습니다.
create-service-account 도구는 hybrid_root_dir/tools 디렉터리에 있습니다.
기본 요건
create-service-account 도구를 사용하려면 gcloud CLI가 설치되어 있어야 합니다. 유틸리티를 호출하는 사용자에게는 Service Account Admin 역할이 부여되어야 합니다.
시작하려면 gcloud 프로젝트 구성이 2단계: Google Cloud 프로젝트 만들기에서 만든 프로젝트로 설정되어 있는지 확인합니다.
gcloud config list project
현재 프로젝트 ID를 변경해야 하는 경우 다음 명령어를 사용합니다.
gcloud config set project gcp_project_id
여기서 gcp_project_id는 2단계: Google Cloud 프로젝트 만들기에서 만든 프로젝트입니다.
create-service-account 구문
create-service-account 도구는 다음 구문을 사용합니다.
create-service-account component_name output_dir [gcp_project_id]
각 항목의 의미는 다음과 같습니다.
- component_name: 서비스 계정을 사용하는 하이브리드 서비스를 지정합니다. 유효한 값은 다음과 같습니다.
apigee-cassandraapigee-loggerapigee-martapigee-metricsapigee-synchronizerapigee-udca
create-service-account도구는apigee-org-admin서비스 계정을 만들 수 없습니다. 서비스 계정 만들기에 설명된 대로 GCP 또는 gCloud API를 사용하여 계정을 만들어야 합니다. - output_dir: 다운로드한 서비스 계정 키를 저장할 출력 디렉터리입니다.
- gcp_project_id: (선택사항) 하이브리드 지원 조직에 결합된 프로젝트의 GCP 프로젝트 ID를 지정합니다. GCP 프로젝트 ID를 지정하지 않으면 현재 gcloud 구성에서 ID가 검색됩니다.
상세 설명
create-service-account 도구는 다음과 같습니다.
- 하이브리드 구성요소에서 사용하는 GCP 서비스 계정을 만듭니다. 생성된 서비스 계정에는 특정 구성요소가 작동하는 데 필요한 역할이 부여됩니다.
- 서비스 계정 키를 시스템에 다운로드합니다. 하이브리드 설치 안내에 설명된 대로 하이브리드 구성 재정의 파일에 서비스 계정 키를 배치합니다.
이 도구는 다음 구성요소의 서비스 계정을 만듭니다.
| 구성요소* | 역할 | 기본 설치 시 필요 여부 | 설명 |
|---|---|---|---|
apigee-cassandra |
스토리지 객체 관리자 | 백업 및 복구에 설명된 대로 Google Cloud Storage로 Cassandra 백업을 허용합니다. | |
apigee-logger |
로그 작성자 | Logging에 설명된 대로 로깅 데이터 수집을 허용합니다. 비GKE 클러스터 설치에만 필요합니다. | |
apigee-mart |
역할 없음 | MART 서비스 인증을 허용합니다. 이 서비스 계정에 연결된 역할이 없어야 합니다. 따라서 이 서비스 계정을 만들 때 역할을 할당하지 마세요. | |
apigee-metrics |
모니터링 측정항목 작성자 | 측정항목 수집에 설명된 대로 측정항목 데이터 수집을 허용합니다. | |
apigee-org-admin |
Apigee 조직 관리자 | getSyncAuthorization API 및 setSyncAuthorization API를 호출할 수 있습니다. create-service-account 도구로는 이 서비스 계정을 만들 수 없습니다. |
|
apigee-synchronizer |
Apigeer 동기화 담당자 관리자 | 동기화 담당자가 프록시 번들 및 환경 구성 데이터를 다운로드하도록 허용합니다. 또한 trace 기능의 작업을 사용 설정합니다. | |
apigee-udca |
Apigee 애널리틱스 에이전트 | trace, 분석, 배포 상태 데이터를 관리 영역에 전송할 수 있습니다. | |
| * 이 이름은 다운로드한 서비스 계정 키의 파일 이름에 사용됩니다. | |||
GCP Console에서 서비스 계정을 만들 수도 있습니다. 서비스 계정 만들기 및 관리도 참조하세요.
예
다음 예시에서는 apigee-logger 서비스의 새 서비스 계정을 만들고 다운로드한 키를 ./service-accounts 디렉터리에 배치합니다.
./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts