サービス アカウントについて

サービス アカウントは Google Cloud の特別なアカウントで、このアカウントを使用すると、システムのコンポーネントやアプリケーションが相互にやり取りしたり、他の API とやり取りしたりできます。Google Cloud の詳細については、Google Cloud サービスについてをご覧ください。

Google Cloud プロジェクトでは、デフォルトのサービス アカウント(存在する場合)を含め、サービス アカウント数の上限が 100 個に設定されています。

ハイブリッドでは、Google Cloud サービス アカウントを使用して次のようなさまざまなタスクを行います。

  • ログと指標データを送信する
  • トレース リクエストを pull する
  • 管理 API リクエストで API ゲートウェイに接続する
  • バックアップを実行する
  • プロキシ バンドルをダウンロードする

1 つのサービス アカウントでこれらの処理をすべて実行できますが、複数のサービス アカウントを作成して、それぞれに特定のタスクに割り当て、独自の権限セットを設定することをおすすめします。これにより、アクセスを切り分け、各サービス アカウントのスコープとアクセス権を制限して、セキュリティを強化できます。ユーザー アカウントと同様に、これらの権限は 1 つ以上のロールをサービス アカウントに割り当てることで適用されます。

Apigee ハイブリッドを正常に機能させるには、複数のサービス アカウントを作成する必要があります。サービス アカウントごとに、機能を実行するためのロールを付与する必要があります(複数のロールが必要な場合もあります)。

次の表に、ハイブリッド コンポーネント用のサービス アカウントを示します。

コンポーネント* ロール 基本インストールでの要否 説明
apigee-cassandra Storage オブジェクト管理者 バックアップと復元で説明されているように、Cassandra が Cloud Storage へのバックアップを実行できるようにします。
apigee-logger ログ書き込み ロギングデータの収集を可能にします(ロギングを参照)。クラスタが GKE 以外にインストールされている場合にのみ必要です。
apigee-mart Apigee Connect エージェント MART サービスの認証を許可します。Apigee Connect エージェント ロールにより、Apigee Connect プロセスと安全に通信を行えるようにします(Apigee Connect の使用を参照)。
apigee-metrics モニタリング指標の書き込み 指標データの収集を可能にします(指標収集の概要を参照)。
apigee-org-admin Apigee 組織管理者 ユーザーが getSyncAuthorization APIsetSyncAuthorization API を呼び出せるようにします。create-service-account ツールを使用してこのサービス アカウントを作成することはできません。
apigee-synchronizer Apigee Synchronizer 管理者 Synchronizer がプロキシ バンドルと環境構成データをダウンロードできるようにします。また、トレース機能も有効にします。
apigee-udca Apigee Analytics エージェント トレース、分析、デプロイのステータス データを管理プレーンに転送できるようにします。
apigee-watcher Apigee ランタイム エージェント Apigee Watcher は、synchronizer から組織の仮想ホスト関連の変更を pull し、Istio Ingress を構成するために必要な変更を行います。
* この名前は、ダウンロードされたサービス アカウント キーのファイル名で使用されます。

この表にあるサービス アカウントを作成するだけでなく、秘密鍵もダウンロードします。後に、これらの鍵を使用してアクセス トークンを生成することで、Apigee API にアクセスできます。

サービス アカウントを作成する

サービス アカウントを作成するには、次に挙げる方法があります。

それぞれについては、次のセクションで説明します。

サービス アカウント作成ツールを使用する

create-service-account ツール(apigeectl のダウンロードと展開後に使用可能)を実行すると、ハイブリッド コンポーネント固有のサービス アカウントが作成され、必要なロールが割り当てられます。また、サービス アカウント キーが自動的にダウンロードされ、ローカルマシンの指定ディレクトリに保存されます。

create-service-account ツールでサービス アカウントを作成する

  1. apigeectl のダウンロードとインストールの説明に従って、apigeectl をダウンロードして展開します(まだ行っていない場合)。
  2. サービス アカウント キーを格納するディレクトリを作成します。次に例を示します。
    mkdir ./service-accounts
  3. 次のコマンドを実行します。
    ./tools/create-service-account apigee-metrics ./service-accounts
./tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts

    これらのコマンドにより、必要なアカウントの大半が作成され、鍵が ./service-accounts ディレクトリに保存されます。ただし、apigee-org-admin サービス アカウントは作成されません。

    上記のコマンドが失敗した場合は、鍵ファイルを保存した既存のディレクトリを参照していることを確認してください。

    create-service-account の使用の詳細については、create-service-account のリファレンスをご覧ください。

  4. apigee-org-admin サービス アカウントを作成します。この操作を行うには、Google Cloud コンソールを使用します。

Google Cloud コンソールを使用する

Google Cloud コンソールを使用してサービス アカウントを作成できます。

Google Cloud コンソールでサービス アカウントを作成するには:

  1. Google Cloud コンソールを開き、ステップ 1: Google Cloud アカウントを作成するで作成したユーザー アカウントでログインします。
  2. ステップ 2: Google Cloud プロジェクトを作成するで作成したプロジェクトを選択します。
  3. [IAM と管理] > [サービス アカウント] を選択します。

    コンソールに [サービス アカウント] ビューが表示されます。このビューには、プロジェクトに作成されているサービス アカウントの一覧が表示されます(多くの場合、この段階ではまだアカウントは表示されません。プロジェクトの作成方法によっては、デフォルトのサービス アカウントが表示されていることがあります)。

  4. 新しいサービス アカウントを作成するには、ビューの上部にある [+ サービス アカウントを作成] をクリックします。

    [サービス アカウントの詳細] ビューが表示されます。

  5. [サービス アカウント名] フィールドに、サービス アカウントの名前を入力します。

    Apigee ではサービス アカウントのロールを反映する名前を使用することが推奨されます。サービスを使用するコンポーネントと同じ名前にすることもできます。たとえば、ログ書き込みサービス アカウントの名前を apigee-logger に設定します。

    サービス アカウントの名前とロールの詳細については、ハイブリッド コンポーネントで使用されるサービス アカウントとロールをご覧ください。

    名前を入力すると、次の例のように、Google Cloud でメールアドレスのような固有のサービス アカウント ID が生成されます。

    ID の例: apigee-logger@hybrid-42.iam.gserviceaccount.com

    必要に応じて [サービス アカウントの説明] フィールドに説明を追加できます。説明は、特定のサービス アカウントの用途を把握するのに役立ちます。

  6. [作成] をクリックします。

    Google Cloud で新しいサービス アカウントが作成され、次の例のように [サービス アカウント権限] ビューが表示されます。

    権限が選択されていないサービス アカウントの作成

    このビューを使用して、新しいサービス アカウントにロールを割り当てます。

  7. [ロールを選択] プルダウン リストをクリックします。
  8. ハイブリッド コンポーネントで使用されるサービス アカウントとロールの説明に従って、サービス アカウントのロールを選択します。Apigee のロールがプルダウン リストに表示されない場合は、ページを更新してください。

    たとえば、ロギング コンポーネントの場合は、[ログ書き込み] ロールを選択します。

    必要に応じて、テキストを入力してロールのリストを名前でフィルタリングします。たとえば、Apigee のロールのみを表示するには、フィルタ フィールドに「Apigee」と入力します。例を次に示します。

    「Apigee」に一致するサービス アカウント権限リスト

    サービス アカウントには複数のロールを追加できますが、Apigee では、推奨されるサービス アカウントごとに 1 つのロールのみを使用することが推奨されます。サービス アカウントの作成後にロールを変更するには、Google Cloud の [IAM と管理] パネルを使用します。

  9. [続行] をクリックします。

    Google Cloud に [ユーザーにこのサービス アカウントへのアクセスを許可] ビューが表示されます。

    サービス アカウント ユーザーのロールとサービス アカウント管理者のロールのフィールド、鍵の作成ボタン

  10. [キーの作成(オプション)] の下にある [キーを作成] をクリックします。

    Google Cloud には、JSON または P12 キーのどちらかをダウンロードする選択肢が用意されています。

    JSON と P12 から鍵のタイプを選択

  11. JSON(デフォルト)を選択し、[作成] をクリックします。

    鍵ファイルが JSON 形式でローカルマシンに保存され、成功すると、次のような確認メッセージが表示されます。

    .json のファイル名の例

    後でサービス アカウント キーをいくつか使用して、ハイブリッド ランタイム サービスを構成します。たとえば、ハイブリッド ランタイムを構成する場合、service_name.serviceAccountPath プロパティを使用して、サービス アカウント キーの場所を指定します。

    サービス アカウントは、これらの鍵を使用してアクセス トークンを取得した後、トークンを使用して、ユーザーの代わりに Apigee API にリクエストを送信します(ただし、今すぐには使用しません。保存した場所を記憶するにとどめてください)。

  12. ハイブリッド コンポーネントで使用されるサービス アカウントとロールに記載されているサービス アカウントごとに、手順 4~11 を繰り返します(ただし、apigee-mart アカウントは除きます。このアカウントに関連付けられたロールがないため、ロールを割り当てないでください)。

    完了すると、以下のサービス アカウント(デフォルトのサービス アカウントが存在すればそのアカウントも含む)が表示されるはずです。

    サービス アカウントのリスト。列 1 選択ボックス、列 2 メール、列 3 ステータス、列 4 サービス アカウント名

    Google Cloud コンソールでは、サービス アカウントは 左側に鍵、右側に半分の長方形、下線付き アイコンで示されます。

サービス アカウントの作成後にロールを追加または削除するには、[IAM と管理] ビューを使用します。サービス アカウントのロールは、[サービス アカウント] ビューでは管理できません。

gcloud のサービス アカウント作成 API を使用する

サービス アカウントは、Cloud Identity and Access Management API で作成および管理できます。

詳細については、サービス アカウントの作成と管理をご覧ください。

トラブルシューティング