サービスアカウントについて

サービスアカウントは Google Cloud の特別なアカウントで、このアカウントを使用すると、システムのコンポーネントやアプリケーションが相互にやり取りしたり、他の API とやり取りしたりできます。Google Cloud の詳細については、Google Cloud サービスについてをご覧ください。

Google Cloud プロジェクトでは、デフォルトのサービスアカウント（存在する場合）を含め、サービスアカウント数の上限が 100 個に設定されています。

ハイブリッドでは、Google Cloud サービスアカウントを使用して次のようなさまざまなタスクを行います。

ログと指標データを送信する
トレースリクエストを取得する
管理 API リクエストで API ゲートウェイに接続する
バックアップを実行する
プロキシバンドルをダウンロードする

1 つのサービスアカウントでこれらの処理をすべて実行できますが、複数のサービスアカウントを作成して、それぞれに特定のタスクに割り当て、独自の権限セットを設定することをおすすめします。これにより、アクセスを切り分け、各サービスアカウントのスコープとアクセス権を制限して、セキュリティを強化できます。ユーザーアカウントと同様に、これらの権限は 1 つ以上のロールをサービスアカウントに割り当てることで適用されます。

ハイブリッドコンポーネントで使用されるサービスアカウントとロール

Apigee ハイブリッドを正常に機能させるには、複数のサービスアカウントを作成する必要があります。サービスアカウントごとに、その機能を実行できるロールを付与する必要があります（複数のロールが必要になることもあります）。

次の表に、ハイブリッドコンポーネントのサービスアカウント示します。

コンポーネント^*	ロール	説明
`apigee-cassandra`	ストレージのオブジェクト管理者	バックアップと復元で説明されているように、Cassandra が Cloud Storage へのバックアップを実行できるようにします。
`apigee-logger`	ログ書き込み	ロギングデータの収集を可能にします（ロギングを参照）。クラスタが GKE 以外にインストールされている場合にのみ必要です。
`apigee-mart`	Apigee Connect エージェント	MART サービスの認証を許可します。Apigee Connect エージェントロールにより、Apigee Connect プロセスと安全に通信を行えるようにします（Apigee Connect の使用を参照）。
`apigee-metrics`	モニタリング指標の書き込み	指標データの収集を可能にします（指標収集の概要を参照）。
`apigee-org-admin`	Apigee 組織管理者	ユーザーが getSyncAuthorization API と setSyncAuthorization API を呼び出せるようにします。`create-service-account` ツールを使用してこのサービスアカウントを作成することはできません。
`apigee-synchronizer`	Apigee Synchronizer 管理者	Synchronizer がプロキシバンドルと環境構成データをダウンロードできるようにします。また、トレース機能も有効にします。
`apigee-udca`	Apigee Analytics エージェント	トレース、分析、デプロイのステータスデータを管理プレーンに転送できるようにします。
`apigee-watcher`	Apigee ランタイムエージェント	Apigee Watcher は、synchronizer から組織の仮想ホスト関連の変更を pull し、istio Ingress を構成するために必要な変更を行います。
^* この名前は、ダウンロードされたサービスアカウントキーのファイル名で使用されます。

この表にあるサービスアカウントを作成するだけでなく、秘密鍵もダウンロードします。後でこれらの鍵を使用してアクセストークンを生成し、Apigee API にアクセスします。

サービスアカウントを作成する

サービスアカウントを作成するには、次に挙げる方法があります。

（推奨）create-service-account ツール
Google Cloud Console
gcloud SDK

それぞれについて、以降のセクションで詳しく説明します。

サービスアカウント作成ツールを使用する

create-service-account ツール（apigeectl のダウンロードと展開後に使用可能）は、ハイブリッドコンポーネント固有のサービスアカウントを作成し、必要なロールを割り当てます。また、サービスアカウントキーを自動的にダウンロードし、ローカルマシンの指定ディレクトリに保存します。

注: create-service-account ツールで apigee-org-admin サービスアカウントは作成できません。この操作を行うには、Google Cloud または gCloud API を使用する必要があります。

create-service-account ツールでサービスアカウントを作成する

apigeectl のダウンロードとインストールの説明に従って、apigeectl をダウンロードして展開します（また行っていない場合）。
サービスアカウントキーを格納するディレクトリを作成します。例:
```
mkdir ./service-accounts
```
次のコマンドを実行します。
```
./tools/create-service-account apigee-metrics ./service-accounts
./tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts
```
これらのコマンドは、必要なアカウントの大半を作成し、キーを ./service-accounts ディレクトリに保存します。これらのコマンドは、apigee-org-admin サービスアカウントを作成しません。

上記のコマンドが失敗した場合は、鍵ファイルを保存した既存のディレクトリを参照していることを確認してください。

create-service-account の使用の詳細については、create-service-account のリファレンスをご覧ください。
apigee-org-admin サービスアカウントを作成します。この操作を行うには、Google Cloud Console を使用します。

Google Cloud Console を使用する

Google Cloud Console を使用してサービスアカウントを作成できます。

Google Cloud Console でサービスアカウントを作成するには:

Google Cloud Console を開き、ステップ 1: Google Cloud アカウントを作成するで作成したユーザーアカウントでログインします。
ステップ 2: Google Cloud プロジェクトを作成するで作成したプロジェクトを選択します。
[IAM と管理] > [サービスアカウント] を選択します。
コンソールに [サービスアカウント] ビューが表示されます。このビューには、プロジェクトに作成されているサービスアカウントの一覧が表示されます（多くの場合、この段階ではまだアカウントは表示されません。プロジェクトの作成方法によっては、デフォルトのサービスアカウントが表示されていることがあります）。
新しいサービスアカウントを作成するには、ビューの上部にある [+ サービスアカウントを作成] をクリックします。
[サービスアカウントの詳細] ビューが表示されます。
[サービスアカウント名] フィールドに、サービスアカウントの名前を入力します。
サービスアカウントのロールを反映する名前を使用することをおすすめします。サービスを使用するコンポーネントと同じ名前にすることもできます。たとえば、ログ書き込みサービスアカウントの名前を apigee-logger に設定します。

サービスアカウントの名前とロールの詳細については、ハイブリッドコンポーネントで使用されるサービスアカウントとロールをご覧ください。

名前を入力すると、次の例のように、Google Cloud によってメールアドレスのような固有のサービスアカウント ID が生成されます。

必要に応じて、[サービスアカウントの説明] 欄に説明を追加できます。説明は、特定のサービスアカウントの用途を把握するのに役立ちます。
[作成] をクリックします。
Google Cloud によって新しいサービスアカウントが作成され、次の例のように [サービスアカウント権限] ビューが表示されます。

このビューを使用して、新しいサービスアカウントにロールを割り当てます。
[ロールを選択] プルダウンリストをクリックします。
ハイブリッドコンポーネントで使用するサービスアカウントとロールの説明に従って、サービスアカウントのロールを選択します。Apigee のロールがプルダウンリストに表示されない場合は、ページを更新してください。
たとえば、Logging コンポーネントの場合は、ログ書き込みロールを選択します。

必要に応じて、テキストを入力してロールのリストを名前でフィルタリングします。たとえば、Apigee のロールのみを表示するには、フィルタフィールドに「Apigee」と入力します。例を次に示します。

サービスアカウントには複数のロールを追加できますが、Apigee では、推奨されるサービスアカウントごとに 1 つのロールのみを使用することをおすすめします。サービスアカウントの作成後にロールを変更するには、Google Cloud の [IAM と管理] パネルを使用します。

注: 推奨されるサービスアカウントにロールが表示されない場合は、アカウントが正しく構成され、組織がプロビジョニングされたことを確かめるため、Apigee アカウント担当者に相談してください。
[続行] をクリックします。
Google Cloud に [ユーザーにこのサービスアカウントへのアクセスを許可] ビューが表示されます。
[鍵の作成（オプション）] の下にある [鍵を作成] をクリックします。
Google Cloud には、JSON または P12 キーのどちらかをダウンロードする選択肢が用意されています。
JSON（デフォルト）を選択し、[作成] をクリックします。
Google Cloud がキーファイルを JSON 形式でローカルマシンに保存し、成功すると、次のような確認メッセージが表示されます。

後でサービスアカウントの鍵の一部を使用して、ハイブリッドランタイムサービスを構成します。たとえば、ハイブリッドランタイムを構成する場合、service_name.serviceAccountPath プロパティを使用して、サービスアカウントの鍵の場所を指定します。
サービスアカウントは、これらの鍵を使用してアクセストークンを取得した後、トークンを使用しユーザーに代わって Apigee API へのリクエストを送信します（ただし、今すぐには使用しません。保存した場所を記憶するにとどめてください）。
ハイブリッドコンポーネントで使用されるサービスアカウントとロールに記載されてサービスアカウントごとに手順 4～11 を繰り返します（ただし、apigee-mart アカウントは除きます。このアカウントに関連付けられたロールがないため、ロールを割り当てないでください）。
完了すると、以下のサービスアカウント（デフォルトのサービスアカウントが存在すればそのアカウントも）が表示されるはずです。

Google Cloud Console では、サービスアカウントにアイコンが表示されます。