create-service-account

Cria contas de serviço do Google Cloud Platform com papéis que permitem que componentes individuais da Apigee híbrida façam chamadas de API autorizadas e façam o download dos arquivos de chave da conta de serviço associados. É possível usar os arquivos de chave da conta de serviço gerados por esse comando no arquivo de modificação da configuração.

A ferramenta create-service-account está localizada no diretório HYBRID_ROOT_DIR/tools.

Pré-requisitos

A ferramenta create-service-account requer que a CLI do gcloud esteja instalada. Os usuários que invocam o utilitário precisam ter o papel Service Account Admin.

Para começar, verifique se a configuração do projeto gcloud está definida como o projeto que você criou na Etapa 2: criar um projeto do Google Cloud:

gcloud config list project

Se você precisar alterar o código do projeto atual, use o seguinte comando:

gcloud config set project GC_PROJECT_ID

Em que GC_PROJECT_ID é o projeto criado na Etapa 2: criar um projeto do Google Cloud.

Sintaxe create-service-account

A ferramenta create-service-account usa a seguinte sintaxe:

create-service-account HYBRID_SERVICE OUTPUT_DIR [GC_PROJECT_ID]

Em que:

  • HYBRID_SERVICE: especifica o serviço híbrido que usa a conta de serviço. Os valores válidos são:
    • apigee-cassandra
    • apigee-distributed-trace
    • apigee-logger
    • apigee-mart
    • apigee-metrics
    • apigee-synchronizer
    • apigee-udca
    • apigee-watcher
    • apigee-demo apenas para ambientes de demonstração ou de teste

    Observe que a ferramenta create-service-account não pode criar a conta de serviço apigee-org-admin. Crie isso com as APIs gcloud, conforme descrito em Criar contas de serviço.

  • OUTPUT_DIR: o diretório de saída no qual armazenar a chave da conta de serviço salva.
  • GCP_PROJECT_ID: (opcional) especifica o ID do projeto do Google Cloud que está vinculado à sua organização com híbrido. Se o ID do projeto do Google Cloud não for fornecido, a ferramenta tentará recuperá-lo a partir da configuração atual do gcloud.

Descrição detalhada

A ferramenta create-service-account:

  • Cria contas de serviço do Google Cloud usadas por componentes híbridos. A conta de serviço criada recebe o papel necessário para que o componente específico opere.
  • Faz o download da chave da conta de serviço no seu sistema. Coloque as chaves da conta de serviço no arquivo de modificação de configuração híbrida, conforme explicado nas instruções de instalação híbridas.

A ferramenta cria contas de serviço para os seguintes componentes:

Componente* Papel Necessário para instalação básica? Descrição
apigee-cassandra Administrador de objetos do Storage Permite backups do Cassandra para o Cloud Storage (CS), conforme descrito em Backup e recuperação.
apigee-distributed-trace Agente do Cloud Trace Permite que o plano de ambiente de execução híbrido participe do rastreamento de solicitações distribuídas em um formato compatível com sistemas como o Google Cloud Trace e o Jaeger.
apigee-logger Gravador de registros Permite a coleta de dados de geração de registros, conforme descrito em Geração de registros. Necessário apenas para instalações de clusters que não sejam do GKE.
apigee-mart Agente do Apigee Connect Permite a autenticação do serviço MART. O papel de Agente do Apigee Connect permite a comunicação com segurança com o processo do Apigee Connect, conforme descrito em Como usar o Apigee Connect.
apigee-metrics Gravador de métricas do Monitoring Permite a coleta de dados de métricas, conforme descrito na Visão geral da coleta de métricas.
apigee-org-admin Administrador da organização da Apigee Permite chamar a API getSyncAuthorization e a API setSyncAuthorization. Não é possível criar essa conta de serviço com a ferramenta create-service-account.
apigee-synchronizer Gerenciador de sincronização da Apigee Permite que o sincronizador faça o download de pacotes de proxy e dados de configuração do ambiente. Ativa também a operação do recurso de rastreamento.
apigee-udca Agente de análise da Apigee Permite a transferência de dados de status de rastreamento, análise e implantação para o plano de gerenciamento.
apigee-watcher Agente do ambiente de execução da Apigee O Apigee Watcher extrai alterações virtuais dos hosts relacionados a uma organização no sincronizador e faz as alterações necessárias para configurar a entrada istio.
* Esse nome é usado no nome de arquivo da chave da conta de serviço baixado.

Como alternativa, para ambientes de teste e demonstração, create-service-account pode criar uma única conta de serviço com todos os papéis atribuídos a ela. Isso não é recomendado para ambientes de produção.

Componente* Papel Necessário para instalação básica? Descrição
apigee-demo Agente de análise da Apigee, agente da Apigee Connect, administrador da organização da Apigee, agente de ambiente de execução da Apigee, gerenciador de sincronização da Apigee, agente do Cloud Trace, gravador de registros, gravador de métricas de monitoramento, administrador de objeto de armazenamento Ou todas as SAs necessárias acima Uma única conta de serviço para ambientes de demonstração ou teste. Consulte Instação, Parte 2, Etapa 5: criar contas de serviço.

Também é possível criar contas de serviço no Console do Google Cloud. Consulte também Como criar e gerenciar contas de serviço.

Exemplo

No exemplo a seguir, criamos uma nova conta de serviço para o serviço apigee-logger e colocamos a chave salva no diretório ./service-accounts.

./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts