サービスアカウントについて

サービスアカウントは Google Cloud の特別なアカウントで、このアカウントを使用すると、システムのコンポーネントやアプリケーションが相互にやり取りしたり、他の API とやり取りしたりできます。Google Cloud の詳細については、Google Cloud サービスについてをご覧ください。

ハイブリッドでは、Google Cloud サービスアカウントを使用して次のようなさまざまなタスクを行います。

ログと指標データを送信する
トレースリクエストを取得する
管理 API リクエスト用の API ゲートウェイに接続する
バックアップを実行する
プロキシバンドルのダウンロード

1 つのサービスアカウントでこれらすべての操作を行うことができますが、Apigee では複数のサービスアカウントを作成して、それぞれのアカウントに特定のタスクと独自の権限セットを割り当てることをおすすめします。これにより、アクセスを切り分け、各サービスアカウントのスコープとアクセス権を制限して、セキュリティを強化できます。ユーザーアカウントと同様に、1 つ以上のロールをサービスアカウントに割り当てることで、これらの権限は適用されます。

ハイブリッドコンポーネントで使用されるサービスアカウントとロール

Apigee ハイブリッドを適切に機能させるには、複数のサービスアカウントを作成する必要があります。サービスアカウントごとに、その機能を実行できるロールを付与する必要があります（複数のロールが必要になることもあります）。

次の表は、ハイブリッドコンポーネントのサービスアカウントを示したものです。

コンポーネント^*	役割	説明
`apigee-cassandra`	ストレージのオブジェクト管理者	バックアップと復元に説明されているように、Cassandra が Cloud Storage（CS）へのバックアップを実行できるようにします。
`apigee-logger`	ログ書き込み	ロギングデータの収集を可能にします（ロギングを参照）。クラスタが GKE 以外にインストールされている場合にのみ必要です。
`apigee-mart`	Apigee Connect エージェント	MART サービスの認証を許可します。Apigee Connect エージェントロールにより、Apigee Connect プロセスと安全に通信を行えるようにします（Apigee Connect の使用を参照）。
`apigee-metrics`	モニタリング指標の書き込み	指標データの収集を可能にします（指標収集の概要を参照）。
`apigee-org-admin`	Apigee 組織管理者	ユーザーが getSyncAuthorization API と setSyncAuthorization API を呼び出せるようにします。`create-service-account` ツールでこのサービスアカウントは作成できません。
`apigee-synchronizer`	Apigee Synchronizer 管理者	Synchronizer がプロキシバンドルと環境構成データをダウンロードできるようにします。また、トレース機能も有効にします。
`apigee-udca`	Apigee アナリティクスエージェント	トレース、分析、デプロイのステータスデータを管理プレーンに転送できるようにします。
`apigee-watcher`	Apigee ランタイムエージェント	Apigee Watcher は、synchronizer から組織の仮想ホスト関連の変更を pull し、istio Ingress を構成するために必要な変更を行います。
^* この名前は、ダウンロードされたサービスアカウントキーのファイル名で使用されます。

この表にあるサービスアカウントを作成するだけでなく、秘密鍵もダウンロードします。後でこれらの鍵を使用してアクセストークンを生成することで、Apigee API にアクセスできるようになります。

サービスアカウントを作成する

サービスアカウントを作成するには、次に挙げる方法があります。

（推奨）create-service-account ツール
Google Cloud Console
gcloud SDK

それぞれの方法について、以降のセクションで詳しく説明します。

サービスアカウント作成ツールを使用する

create-service-account ツール（apigeectl のダウンロードと展開後に使用可能）は、ハイブリッドコンポーネント固有のサービスアカウントを作成し、必要なロールを割り当てます。さらに、このツールはサービスアカウントキーを自動的にダウンロードし、ローカルマシンの指定されたディレクトリに保存します。

注: create-service-account ツールで apigee-org-admin サービスアカウントは作成できません。この操作を行うには、Google Cloud または gCloud API を使用する必要があります。

create-service-account ツールでサービスアカウントを作成する

apigeectl のダウンロードとインストールの説明に従って、apigeectl をダウンロードして展開します（また行っていない場合）。
サービスアカウントキーを保存するディレクトリを作成します。次に例を示します。
```
mkdir ./service-accounts
```
次のコマンドを実行します。
```
./tools/create-service-account apigee-metrics ./service-accounts
./tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts
```
これらのコマンドを実行すると、必要なアカウントのほとんどが作成され、そのアカウントの鍵が ./service-accounts ディレクトリに保存されます。これらのコマンドでは、apigee-org-admin サービスアカウントは作成されません。

上記のコマンドが失敗した場合は、鍵ファイルを保存した既存のディレクトリを参照していることを確認してください。

create-service-account の使用の詳細については、create-service-account のリファレンスをご覧ください。
apigee-org-admin サービスアカウントを作成します。この操作を行うには、Google Cloud Console を使用します。

Google Cloud Console を使用する

Google Cloud Console を使用してサービスアカウントを作成できます。

Google Cloud Console でサービスアカウントを作成するには:

Google Cloud Console を開き、ステップ 1: Google Cloud アカウントを作成するで作成したユーザーアカウントでログインします。
ステップ 2: Google Cloud プロジェクトを作成するで作成したプロジェクトを選択します。
[IAM と管理] > [サービスアカウント] を選択します。
コンソールに [サービスアカウント] ビューが表示されます。このビューには、プロジェクトに作成されているサービスアカウントの一覧が表示されます（ほとんどの場合、表示されるアカウントはありませんが、プロジェクトの作成方法によっては、デフォルトのサービスアカウントが表示されることもあります）。
新しいサービスアカウントを作成するには、ビューの上部にある [+サービスアカウントを作成] をクリックします。
[サービスアカウントの詳細] ビューが表示されます。
[サービスアカウント名] フィールドに、サービスアカウントの名前を入力します。
Apigee では、サービスアカウントのロールを反映した名前を使用することをおすすめします。サービスアカウントの名前には、そのサービスアカウントを使用するコンポーネントと同じ名前に設定することもできます。たとえば、ログ書き込みサービスアカウントの名前を apigee-logger に設定します。

サービスアカウントの名前とロールの詳細については、ハイブリッドコンポーネントで使用されるサービスアカウントとロールをご覧ください。

名前を入力すると、次の例のように、Google Cloud によってメールアドレスのような固有のサービスアカウント ID が生成されます。

必要に応じて、[サービスアカウントの説明] 欄に説明を追加できます。説明は特定のサービスアカウントの用途を確認する際に有用です。
[作成] をクリックします。
Google Cloud によって新しいサービスアカウントが作成され、次の例のように [サービスアカウント権限] ビューが表示されます。

このビューを使用して、新しいサービスアカウントにロールを割り当てます。
[ロールを選択] プルダウンリストをクリックします。
ハイブリッドコンポーネントで使用するサービスアカウントとロールの説明に従って、サービスアカウントのロールを選択します。Apigee のロールがプルダウンリストに表示されない場合は、ページを更新します。
たとえば、Logging コンポーネントの場合は、[ログ書き込み] ロールを選択します。

必要に応じて、テキストを入力してロールのリストを名前でフィルタリングします。たとえば、Apigee のロールのみを表示するには、フィルタフィールドに「Apigee」と入力します。例を次に示します。

サービスアカウントには複数のロールを追加できますが、Apigee では、推奨されるサービスアカウントごとに 1 つのロールのみを使用することをおすすめします。サービスアカウントの作成後にロールを変更するには、Google Cloud の [IAM と管理] パネルを使用します。

注: 推奨されるサービスアカウントにロールが表示されない場合は、アカウントが正しく構成され、組織がプロビジョニングされたことを確かめるため、Apigee アカウント担当者に相談してください。
[続行] をクリックします。
Google Cloud に [ユーザーにこのサービスアカウントへのアクセスを許可] ビューが表示されます。
[鍵の作成（オプション）] の下にある [鍵を作成] をクリックします。
Google Cloud には、JSON または P12 キーのどちらかをダウンロードする選択肢が用意されています。
JSON（デフォルト）を選択し、[作成] をクリックします。
Google Cloud がキーファイルを JSON 形式でローカルマシンに保存し、成功すると、次のような確認メッセージが表示されます。

後でサービスアカウントの鍵の一部を使用して、ハイブリッドランタイムサービスを構成します。たとえば、ハイブリッドランタイムを構成する場合、service_name.serviceAccountPath プロパティを使用して、サービスアカウントの鍵の場所を指定します。
サービスアカウントは、これらの鍵を使用してアクセストークンを取得した後、トークンを使用しユーザーに代わって Apigee API へのリクエストを送信します（ただし、今すぐには使用しません。保存した場所を記憶するにとどめてください）。
ハイブリッドコンポーネントで使用されるサービスアカウントとロールに記載されてサービスアカウントごとに手順 4～11 を繰り返します（ただし、apigee-mart アカウントは除きます。このアカウントに関連付けられたロールがないため、ロールを割り当てないでください）。
完了すると、以下のサービスアカウント（デフォルトのサービスアカウントが存在すればそのアカウントも）が表示されるはずです。

Google Cloud Console では、サービスアカウントにアイコンが表示されます。