サービス アカウントについて

サービス アカウントは Google Cloud の特別なアカウントで、このアカウントを使用すると、システムのコンポーネントやアプリケーションが相互にやり取りしたり、他の API とやり取りしたりできます。Google Cloud の詳細については、Google Cloud サービスについてをご覧ください。

Google Cloud プロジェクトでは、デフォルトのサービス アカウント(存在する場合)を含め、サービス アカウント数の上限が 100 個に設定されています。

ハイブリッドでは、Google Cloud サービス アカウントを使用して次のようなさまざまなタスクを行います。

  • ログと指標データを送信する
  • トレース リクエストを取得する
  • 管理 API リクエストで API ゲートウェイに接続する
  • バックアップを実行する
  • プロキシ バンドルをダウンロードする

1 つのサービス アカウントでこれらの処理をすべて実行できますが、複数のサービス アカウントを作成して、それぞれに特定のタスクに割り当て、独自の権限セットを設定することをおすすめします。これにより、アクセスを切り分け、各サービス アカウントのスコープとアクセス権を制限して、セキュリティを強化できます。ユーザー アカウントと同様に、これらの権限は 1 つ以上のロールをサービス アカウントに割り当てることで適用されます。

Apigee ハイブリッドを正常に機能させるには、複数のサービス アカウントを作成する必要があります。サービス アカウントごとに、その機能を実行できるロールを付与する必要があります(複数のロールが必要になることもあります)。

次の表に、ハイブリッド コンポーネントのサービス アカウント示します。

コンポーネント* ロール 基本インストールでの要否 説明
apigee-cassandra ストレージのオブジェクト管理者 バックアップと復元で説明されているように、Cassandra が Cloud Storage へのバックアップを実行できるようにします。
apigee-logger ログ書き込み ロギングデータの収集を可能にします(ロギングを参照)。クラスタが GKE 以外にインストールされている場合にのみ必要です。
apigee-mart Apigee Connect エージェント MART サービスの認証を許可します。Apigee Connect エージェント ロールにより、Apigee Connect プロセスと安全に通信を行えるようにします(Apigee Connect の使用を参照)。
apigee-metrics モニタリング指標の書き込み 指標データの収集を可能にします(指標収集の概要を参照)。
apigee-org-admin Apigee 組織管理者 ユーザーが getSyncAuthorization APIsetSyncAuthorization API を呼び出せるようにします。create-service-account ツールを使用してこのサービス アカウントを作成することはできません。
apigee-synchronizer Apigee Synchronizer 管理者 Synchronizer がプロキシ バンドルと環境構成データをダウンロードできるようにします。また、トレース機能も有効にします。
apigee-udca Apigee Analytics エージェント トレース、分析、デプロイのステータス データを管理プレーンに転送できるようにします。
apigee-watcher Apigee ランタイム エージェント Apigee Watcher は、synchronizer から組織の仮想ホスト関連の変更を pull し、istio Ingress を構成するために必要な変更を行います。
* この名前は、ダウンロードされたサービス アカウント キーのファイル名で使用されます。

この表にあるサービス アカウントを作成するだけでなく、秘密鍵もダウンロードします。後でこれらの鍵を使用してアクセス トークンを生成し、Apigee API にアクセスします。

サービス アカウントを作成する

サービス アカウントを作成するには、次に挙げる方法があります。

それぞれについて、以降のセクションで詳しく説明します。

サービス アカウント作成ツールを使用する

create-service-account ツール(apigeectl のダウンロードと展開後に使用可能)は、ハイブリッド コンポーネント固有のサービス アカウントを作成し、必要なロールを割り当てます。また、サービス アカウント キーを自動的にダウンロードし、ローカルマシンの指定ディレクトリに保存します。

create-service-account ツールでサービス アカウントを作成する

  1. apigeectl のダウンロードとインストールの説明に従って、apigeectl をダウンロードして展開します(また行っていない場合)。
  2. サービス アカウント キーを格納するディレクトリを作成します。例:
    mkdir ./service-accounts
  3. 次のコマンドを実行します。
    ./tools/create-service-account apigee-metrics ./service-accounts
    ./tools/create-service-account apigee-synchronizer ./service-accounts
    ./tools/create-service-account apigee-udca ./service-accounts
    ./tools/create-service-account apigee-mart ./service-accounts
    ./tools/create-service-account apigee-cassandra ./service-accounts
    ./tools/create-service-account apigee-logger ./service-accounts

    これらのコマンドは、必要なアカウントの大半を作成し、キーを ./service-accounts ディレクトリに保存します。これらのコマンドは、apigee-org-admin サービス アカウントを作成しません。

    上記のコマンドが失敗した場合は、鍵ファイルを保存した既存のディレクトリを参照していることを確認してください。

    create-service-account の使用の詳細については、create-service-account のリファレンスをご覧ください。

  4. apigee-org-admin サービス アカウントを作成します。この操作を行うには、Google Cloud Console を使用します。

Google Cloud Console を使用する

Google Cloud Console を使用してサービス アカウントを作成できます。

Google Cloud Console でサービス アカウントを作成するには:

  1. Google Cloud Console を開き、ステップ 1: Google Cloud アカウントを作成するで作成したユーザー アカウントでログインします。
  2. ステップ 2: Google Cloud プロジェクトを作成するで作成したプロジェクトを選択します。
  3. [IAM と管理] > [サービス アカウント] を選択します。

    コンソールに [サービス アカウント] ビューが表示されます。このビューには、プロジェクトに作成されているサービス アカウントの一覧が表示されます(多くの場合、この段階ではまだアカウントは表示されません。プロジェクトの作成方法によっては、デフォルトのサービス アカウントが表示されていることがあります)。

  4. 新しいサービス アカウントを作成するには、ビューの上部にある [+ サービス アカウントを作成] をクリックします。

    [サービス アカウントの詳細] ビューが表示されます。

  5. [サービス アカウント名] フィールドに、サービス アカウントの名前を入力します。

    サービス アカウントのロールを反映する名前を使用することをおすすめします。サービスを使用するコンポーネントと同じ名前にすることもできます。たとえば、ログ書き込みサービス アカウントの名前を apigee-logger に設定します。

    サービス アカウントの名前とロールの詳細については、ハイブリッド コンポーネントで使用されるサービス アカウントとロールをご覧ください。

    名前を入力すると、次の例のように、Google Cloud によってメールアドレスのような固有のサービス アカウント ID が生成されます。

    ID の例: apigee-logger@hybrid-42.iam.gserviceaccount.com

    必要に応じて、[サービス アカウントの説明] 欄に説明を追加できます。説明は、特定のサービス アカウントの用途を把握するのに役立ちます。

  6. [作成] をクリックします。

    Google Cloud によって新しいサービス アカウントが作成され、次の例のように [サービス アカウント権限] ビューが表示されます。

    権限が選択されていないサービス アカウントの作成

    このビューを使用して、新しいサービス アカウントにロールを割り当てます。

  7. [ロールを選択] プルダウン リストをクリックします。
  8. ハイブリッド コンポーネントで使用するサービス アカウントとロールの説明に従って、サービス アカウントのロールを選択します。Apigee のロールがプルダウンリストに表示されない場合は、ページを更新してください。

    たとえば、Logging コンポーネントの場合は、ログ書き込みロールを選択します。

    必要に応じて、テキストを入力してロールのリストを名前でフィルタリングします。たとえば、Apigee のロールのみを表示するには、フィルタ フィールドに「Apigee」と入力します。例を次に示します。

    Apigee に一致するサービス アカウント権限リスト

    サービス アカウントには複数のロールを追加できますが、Apigee では、推奨されるサービス アカウントごとに 1 つのロールのみを使用することをおすすめします。サービス アカウントの作成後にロールを変更するには、Google Cloud の [IAM と管理] パネルを使用します。

  9. [続行] をクリックします。

    Google Cloud に [ユーザーにこのサービス アカウントへのアクセスを許可] ビューが表示されます。

    サービス アカウント ユーザーのロールとサービス アカウント管理者のロールのフィールド、キーの作成ボタン

  10. [鍵の作成(オプション)] の下にある [鍵を作成] をクリックします。

    Google Cloud には、JSON または P12 キーのどちらかをダウンロードする選択肢が用意されています。

    JSON または P12 キータイプを選択

  11. JSON(デフォルト)を選択し、[作成] をクリックします。

    Google Cloud がキーファイルを JSON 形式でローカルマシンに保存し、成功すると、次のような確認メッセージが表示されます。

    .json のファイル名の例

    後でサービス アカウントの鍵の一部を使用して、ハイブリッド ランタイム サービスを構成します。たとえば、ハイブリッド ランタイムを構成する場合、service_name.serviceAccountPath プロパティを使用して、サービス アカウントの鍵の場所を指定します。

    サービス アカウントは、これらの鍵を使用してアクセス トークンを取得した後、トークンを使用しユーザーに代わって Apigee API へのリクエストを送信します(ただし、今すぐには使用しません。保存した場所を記憶するにとどめてください)。

  12. ハイブリッド コンポーネントで使用されるサービス アカウントとロールに記載されてサービス アカウントごとに手順 4~11 を繰り返します(ただし、apigee-mart アカウントは除きます。このアカウントに関連付けられたロールがないため、ロールを割り当てないでください)。

    完了すると、以下のサービス アカウント(デフォルトのサービス アカウントが存在すればそのアカウントも)が表示されるはずです。

    サービス アカウントのリスト。列 1 選択ボックス、列 2 メール、列 3 ステータス、列 4 サービス アカウント名

    Google Cloud Console では、サービス アカウントに 左側にキー、右側に半分の長方形、下線付き アイコンが表示されます。

サービス アカウントの作成後にロールを追加または削除するには、[IAM と管理] ビューを使用します。サービス アカウントのロールは、[サービス アカウント] ビューでは管理できません。

gcloud サービス アカウント作成 API を使用する

サービス アカウントは、Cloud Identity and Access Management API で作成および管理できます。

詳細については、サービス アカウントの作成と管理をご覧ください。

トラブルシューティング