create-service-account

Cria contas de serviço do Google Cloud Platform com papéis que permitem que componentes individuais da Apigee híbrida façam chamadas de API autorizadas e façam o download dos arquivos de chave da conta de serviço associados. É possível usar os arquivos de chave da conta de serviço gerados por esse comando no arquivo de modificação da configuração.

A ferramenta create-service-account está localizada no diretório HYBRID_ROOT_DIR/tools.

Pré-requisitos

A ferramenta create-service-account requer que a CLI do gcloud esteja instalada. Os usuários que invocam o utilitário precisam ter o papel Service Account Admin.

Para começar, verifique se a configuração do projeto gcloud está definida como o projeto que você criou na Etapa 2: criar um projeto do Google Cloud:

gcloud config list project

Se você precisar alterar o código do projeto atual, use o seguinte comando: 

gcloud config set project GC_PROJECT_ID

Em que GC_PROJECT_ID é o projeto criado na Etapa 2: criar um projeto do Google Cloud.

Sintaxe create-service-account

A ferramenta create-service-account usa a seguinte sintaxe:

create-service-account HYBRID_SERVICE OUTPUT_DIR [GC_PROJECT_ID]

Em que:

  • HYBRID_SERVICE: especifica o serviço híbrido que usa a conta de serviço. Os valores válidos são:
    • apigee-cassandra
    • apigee-distributed-trace
    • apigee-logger
    • apigee-mart
    • apigee-metrics
    • apigee-synchronizer
    • apigee-udca
    • apigee-watcher

    Observe que a ferramenta create-service-account não pode criar a conta de serviço apigee-org-admin. Crie isso com as APIs gcloud, conforme descrito em Criar contas de serviço.

  • OUTPUT_DIR: o diretório de saída no qual armazenar a chave da conta de serviço salva.
  • GCP_PROJECT_ID: (opcional) especifica o ID do projeto do Google Cloud que está vinculado à sua organização com híbrido. Se o ID do projeto do Google Cloud não for fornecido, a ferramenta tentará recuperá-lo a partir da configuração atual do gcloud.

Descrição detalhada

A ferramenta create-service-account:

  • Cria contas de serviço do Google Cloud usadas por componentes híbridos. A conta de serviço criada recebe o papel necessário para que o componente específico opere.
  • Faz o download da chave da conta de serviço no seu sistema. Coloque as chaves da conta de serviço no arquivo de modificação de configuração híbrida, conforme explicado nas instruções de instalação híbridas.

A ferramenta cria contas de serviço para os seguintes componentes:

Componente* Papel Necessário para instalação básica? Descrição
apigee-cassandra Administrador de objetos do Storage
roles/storage.objectAdmin 		Permite backups do Cassandra para o Cloud Storage, conforme descrito em Backup e recuperação.
apigee-distributed-trace Agente do Cloud Trace
roles/cloudtrace.agent		 Permite que o plano de ambiente de execução híbrido participe do rastreamento de solicitações distribuídas em um formato compatível com sistemas como o Google Cloud Trace e o Jaeger.
apigee-logger Gravador de registros
roles/logging.logWriter		 Permite a coleta de dados de geração de registros, conforme descrito em Geração de registros. Obrigatório apenas para instalações de cluster que não são do GKE.
apigee-mart Agente do Apigee Connect
roles/apigeeconnect.Agent 		Permite a autenticação do serviço MART. O papel de Agente do Apigee Connect permite a comunicação com segurança com o processo do Apigee Connect, conforme descrito em Como usar o Apigee Connect.
apigee-metrics Gravador de métricas do Monitoring
roles/monitoring.metricWriter		 Permite a coleta de dados de métricas, conforme descrito na Visão geral da coleta de métricas.
apigee-synchronizer Gerenciador de sincronização da Apigee
roles/apigee.synchronizerManager		 Permite que o sincronizador faça o download de pacotes de proxy e dados de configuração do ambiente. Ativa também a operação do recurso de rastreamento.
apigee-udca Agente de análise da Apigee
roles/apigee.analyticsAgent		 Permite a transferência de dados de status de rastreamento, análise e implantação para o plano de gerenciamento.
apigee-watcher Agente do ambiente de execução da Apigee
roles/apigee.runtimeAgent		 O Apigee Watcher extrai alterações virtuais dos hosts relacionados a uma organização no sincronizador e faz as alterações necessárias para configurar a entrada istio.
* Esse nome é usado no nome de arquivo da chave da conta de serviço baixado.

Também é possível criar contas de serviço no Console do Google Cloud. Consulte também Como criar e gerenciar contas de serviço.

Exemplo

No exemplo a seguir, criamos uma nova conta de serviço para o serviço apigee-logger e colocamos a chave salva no diretório ./service-accounts.

./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts