create-service-account

Crée des comptes de service Google Cloud Platform avec des rôles permettant à des composants hybrides Apigee individuels d'effectuer des appels d'API autorisés et de télécharger les fichiers de clé de compte de service associés. Vous pouvez utiliser les fichiers de clé de compte de service générés par cette commande dans votre fichier de remplacement de configuration.

L'outil create-service-account se trouve dans le répertoire HYBRID_ROOT_DIR/tools.

Prérequis

L'outil create-service-account nécessite que la CLI gcloud soit installée. Les utilisateurs appelant l'utilitaire doivent disposer du rôle Service Account Admin.

Pour commencer, assurez-vous que la configuration de votre projet gcloud est définie sur le projet que vous avez créé à l'étape 2 : Créer un projet Google Cloud :

gcloud config list project

Si vous devez modifier l'ID de projet actuel, exécutez la commande suivante : 

gcloud config set project GC_PROJECT_ID

GC_PROJECT_ID correspond au projet créé à l'étape 2 : Créer un projet Google Cloud.

Syntaxe create-service-account

L'outil create-service-account utilise la syntaxe suivante :

create-service-account HYBRID_SERVICE OUTPUT_DIR [GC_PROJECT_ID]

Où :

  • HYBRID_SERVICE : Spécifie le service hybride qui utilise le compte de service. Les valeurs possibles sont les suivantes :
    • apigee-cassandra
    • apigee-distributed-trace
    • apigee-logger
    • apigee-mart
    • apigee-metrics
    • apigee-synchronizer
    • apigee-udca
    • apigee-watcher

    Notez que l'outil create-service-account ne peut pas créer le compte de service apigee-org-admin. Vous devez le créer avec les API gcloud, comme décrit dans la section Créer des comptes de service.

  • OUTPUT_DIR : Répertoire de sortie dans lequel stocker la clé de compte de service téléchargée.
  • GCP_PROJECT_ID (facultatif) : Spécifie l'ID du projet Google Cloud associé à votre organisation compatible hybride. Si l'ID du projet Google Cloud n'est pas fourni, l'outil tente de le récupérer à partir de la configuration gcloud actuelle.

Description détaillée

L'outil create-service-account :

  • Crée des comptes de service Google Cloud utilisés par les composants hybrides. Le compte de service créé se voit attribuer le rôle requis par le composant spécifique pour fonctionner.
  • Télécharge la clé du compte de service sur votre système. Vous placez les clés de compte de service dans votre fichier de remplacement de configuration hybride, comme expliqué dans les instructions d'installation hybride.

L'outil crée des comptes de service pour les composants suivants :

Composant* Rôle Requis pour l'installation de base ? Description
apigee-cassandra Administrateur des objets de l'espace de stockage
roles/storage.objectAdmin		 Autorise les sauvegardes Cassandra sur Google Cloud Storage, comme décrit sur la page Sauvegarde et récupération.
apigee-distributed-trace Agent Cloud Trace
roles/cloudtrace.agent		 Permet au plan d'exécution hybride de participer à un traçage de requêtes distribué dans un format compatible avec des systèmes tels que Google Cloud Trace et Jaeger.
apigee-logger Rédacteur de journaux
roles/logging.logWriter		 Permet de collecter des données de journalisation, comme décrit dans la section Journalisation. Obligatoire uniquement pour les installations de cluster autres que GKE.
apigee-mart Agent Apigee Connect
roles/apigeeconnect.Agent		 Permet l'authentification du service MART. Le rôle Agent Apigee Connect lui permet de communiquer de manière sécurisée avec le processus Apigee Connect, comme décrit dans la section Utiliser Apigee Connect.
apigee-metrics Rédacteur de métriques Monitoring
roles/monitoring.metricWriter		 Permet de collecter des données de métriques, comme décrit dans la section Présentation de la collecte de métriques.
apigee-synchronizer Gestionnaire de synchronisateur Apigee
roles/apigee.synchronizerManager		 Permet au synchronisateur de télécharger des groupes de proxys et des données de configuration d'environnement. Active également la fonctionnalité de trace.
apigee-udca Agent d'analyses Apigee
roles/apigee.analyticsAgent		 Permet le transfert des données des traces, des analyses et d'état de déploiement vers le plan de gestion.
apigee-watcher Agent d'exécution Apigee
roles/apigee.runtimeAgent		 Apigee Watcher extrait les changements virtuels des hôtes pour une organisation à partir du synchronisateur et effectue les modifications nécessaires pour configurer l'entrée Istio.
* Ce nom est utilisé dans le nom de fichier de la clé du compte de service téléchargée.

Vous pouvez également créer des comptes de service dans Google Cloud Console. Consultez aussi la section Créer et gérer des comptes de service.

Exemple

L'exemple suivant crée un nouveau compte de service pour le service apigee-logger et place la clé téléchargée dans le répertoire ./service-accounts.

./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts