服务帐号验证

Apigee Hybrid 提供验证功能,该功能可确保服务帐号密钥的位置正确并且帐号在 GCP 项目中拥有适当的权限。此验证默认启用。

本部分介绍如何启用或停用服务帐号验证。此外,该步骤可确保为 GCP 项目启用正确的 API,以便验证功能正常运行。

启用服务帐号权限验证

要启用权限验证,请执行以下操作

  1. 确保已为 GCP 项目启用 Cloud Resource Manager API
    1. 打开 Google Cloud Console,然后使用您在第 1 步:创建 Google Cloud 帐号中创建的帐号进行登录。
    2. 选择您在第 2 步:创建 Google Cloud 项目中创建的项目。
    3. 选择 API 和服务 > 库
    4. 搜索“Cloud Resource Manager”。
    5. 找到 Cloud Resource Manager API 服务并点击它。
    6. 如果尚未启用,请点击启用

    您还可以使用 gcloud 启用 API:

    gcloud services enable cloudresourcemanager.googleapis.com --project GCP_project_ID
  2. 在替换文件中,添加 validateServiceAccounts 属性并将其设置为 true。例如:
    ...
    # Enables strict validation of service account permissions.
    validateServiceAccounts: true
    ...

启用验证后,每当 apigeectl 将 Apigee Hybrid 运行时组件应用于您的集群时,它都会验证包含在替换文件中的服务帐号密钥。

验证错误问题排查

如果验证失败,运行时部署会停止并且 apigeectl 会退出。如需排查服务帐号故障问题,了解验证检查权限的以下顺序会很有帮助:

  1. 项目 ID 的权限。
  2. (仅适用于 UDCA 和同步器)如果对项目的权限检查失败,验证会继续根据 Apigee 环境的 IAM 政策检查权限。这些 SA 的范围为环境,且环境支持更精细的权限。

    如需更新特定环境的 IAM 政策,请转到 Hybrid 界面。转到管理 > 环境 > 访问权限

例如,以下是一个失败的权限检查的错误消息:

Invalid Metrics Service Account. Service Account
"apigee-metrics@hybrid-project.iam.gserviceaccount.com" is missing 1 or more required
permissions [monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create].
Visit Service accounts and roles used by
hybrid components for more details on setting up Apigee hybrid service account permissions.

要解决此错误,请向服务帐号添加所需的角色。如需了解如何创建和修改服务帐号,请参阅创建服务帐号。如需查看每个 Apigee Hybrid 组件所需的权限,请参阅 Hybrid 组件使用的服务帐号和角色

停用权限验证

如需停用服务帐号权限验证,请将替换文件中的 validateServiceAccounts 属性设置为 false,如以下示例所示:

...
# Enables strict validation of service account permissions.
validateServiceAccounts: false
...