create-service-account

Crée des comptes de service Google Cloud Platform (GCP) avec des rôles permettant à des composants hybrides Apigee individuels d'effectuer des appels d'API autorisés et de télécharger les fichiers de clé de compte de service associés. Vous pouvez utiliser les fichiers de clé de compte de service générés par cette commande dans votre fichier de remplacement de configuration.

L'outil create-service-account se trouve dans le répertoire hybrid_root_dir/tools.

Prérequis

L'outil create-service-account nécessite que la CLI gcloud soit installée. Les utilisateurs appelant l'utilitaire doivent disposer du rôle Service Account Admin.

Pour commencer, assurez-vous que la configuration de votre projet gcloud est définie sur le projet que vous avez créé à l'étape 2 : Créer un projet Google Cloud :

gcloud config list project

Si vous devez modifier l'ID de projet actuel, exécutez la commande suivante :

gcloud config set project gcp_project_id

gcp_project_id correspond au projet créé à l'étape 2 : Créer un projet Google Cloud.

Syntaxe create-service-account

L'outil create-service-account utilise la syntaxe suivante :

create-service-account component_name output_dir [gcp_project_id]

Où :

  • component_name : Spécifie le service hybride qui utilise le compte de service. Les valeurs possibles sont les suivantes :
    • apigee-cassandra
    • apigee-logger
    • apigee-mart
    • apigee-metrics
    • apigee-synchronizer
    • apigee-udca

    Notez que l'outil create-service-account ne peut pas créer le compte de service apigee-org-admin. Vous devez le créer avec les API GCP ou gCloud, comme décrit dans la section Créer des comptes de service.

  • output_dir : Répertoire de sortie dans lequel stocker la clé de compte de service téléchargée.
  • gcp_project_id (facultatif) : Spécifie l'ID du projet GCP associé à votre organisation compatible hybride. Si l'ID du projet GCP n'est pas fourni, l'outil tente de le récupérer à partir de la configuration gcloud actuelle.

Description détaillée

L'outil create-service-account :

  • Crée des comptes de service GCP utilisés par les composants hybrides. Le compte de service créé se voit attribuer le rôle requis par le composant spécifique pour fonctionner.
  • Télécharge la clé du compte de service sur votre système. Vous placez les clés de compte de service dans votre fichier de remplacement de configuration hybride, comme expliqué dans les instructions d'installation hybride.

L'outil crée des comptes de service pour les composants suivants :

Composant* Rôle Requis pour l'installation de base ? Description
apigee-cassandra Administrateur des objets de l'espace de stockage Autorise les sauvegardes Cassandra sur Google Cloud Storage, comme décrit sur la page Sauvegarde et récupération Cassandra.
apigee-logger Rédacteur de journaux Permet de collecter des données de journalisation, comme décrit dans la section Journalisation. Obligatoire uniquement pour les installations de cluster autres que GKE.
apigee-mart Aucun rôle Permet l'authentification du service MART. Ce compte de service ne doit pas être associé à un rôle ; par conséquent, lorsque vous créez ce compte de service, ne lui attribuez pas de rôle.
apigee-metrics Rédacteur de métriques Monitoring Permet la collecte de données de métriques, comme décrit dans la section Collecte des métriques
apigee-org-admin Administrateur de l'organisation Apigee Vous permet d'appeler les API getSyncAuthorization et setSyncAuthorization. Vous ne pouvez pas créer ce compte de service avec l'outil create-service-account.
apigee-synchronizer Gestionnaire de synchronisateur Apigee Permet au synchronisateur de télécharger des groupes de proxys et des données de configuration d'environnement. Active également la fonctionnalité de trace.
apigee-udca Agent d'analyses Apigee Permet le transfert des données d'état des traces, des analyses et du déploiement vers le plan de gestion.
* Ce nom est utilisé dans le nom de fichier de la clé du compte de service téléchargée.

Vous pouvez également créer des comptes de service dans la console GCP. Consultez aussi la section Créer et gérer des comptes de service.

Exemple

L'exemple suivant crée un nouveau compte de service pour le service apigee-logger et place la clé téléchargée dans le répertoire ./service-accounts.

./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts