Informazioni sugli account di servizio

Un account di servizio è un tipo speciale di account in Google Cloud che consente ai componenti e alle applicazioni di un sistema di interagire tra loro e con altre API. Per ulteriori informazioni su Google Cloud, consulta Informazioni sui servizi Google Cloud.

L'ambiente ibrido utilizza gli account di servizio Google Cloud per eseguire diverse attività, tra cui:

  • Inviare dati di log e metriche
  • Richieste di traccia del pull
  • Connettiti ad API Gateway per le richieste API amministrative
  • Esegui backup
  • Scarica bundle proxy

Anche se un account di servizio potrebbe eseguire tutte queste operazioni, Apigee consiglia di crei più account di servizio, ognuno dei quali è assegnato a un'attività specifica e ognuno con il proprio di autorizzazioni. In questo modo, la sicurezza viene migliorata suddividendo l'accesso e limitando l'ambito e i privilegi di accesso di ogni account di servizio. Come per gli account utente, queste autorizzazioni vengono applicate assegnando uno o più ruoli all'account di servizio.

Per funzionare correttamente, Apigee Hybrid richiede la creazione di diversi account di servizio. Ciascuna l'account di servizio richiede uno o più ruoli specifici che gli consentano di eseguire la propria funzione.

La tabella seguente descrive gli account di servizio per i componenti ibride:

Componente* Ruolo Necessaria per l'installazione di base? Descrizione
apigee-cassandra Amministratore oggetti Storage
roles/storage.objectAdmin		 Consente i backup di Cassandra in Cloud Storage, come описано в Backup e ripristino.
apigee-distributed-trace Agente Cloud Trace
roles/cloudtrace.agent		 Consente al piano di runtime ibrido di partecipare al monitoraggio delle richieste distribuite in un formato compatibile con sistemi come Google Cloud Trace e Jaeger.
apigee-logger Logs Writer
roles/logging.logWriter		 Consente la raccolta dei dati di logging, come descritto in Logging. Obbligatorio solo per non GKE delle installazioni di cluster.
apigee-mart Agente Apigee Connect
roles/apigeeconnect.Agent		 Consente l'autenticazione del servizio MART. Il ruolo Agente Apigee Connect consente di comunicare in modo sicuro con il processo Apigee Connect, come descritto in Utilizzo Apigee Connect.
apigee-metrics Writer metriche Monitoring
roles/monitoring.metricWriter		 Consente la raccolta dei dati delle metriche, come descritto nella Panoramica della raccolta di metriche.
apigee-org-admin Amministratore dell'organizzazione Apigee
roles/apigee.admin		 Ti consente di chiamare l'API getSyncAuthorization e l'API setSyncAuthorization. Poiché Apigee Org Admin è un ruolo esterno al piano di runtime, non puoi assegnarlo all'account di servizio con lo strumento create-service-account.
apigee-synchronizer Gestore della sincronizzazione di Apigee
roles/apigee.synchronizerManager		 Consente al sincronizzatore di scaricare i bundle di proxy e i dati di configurazione dell'ambiente. Consente inoltre di utilizzare la funzionalità di traccia.
apigee-udca Agente Apigee Analytics
roles/apigee.analyticsAgent		 Consente il trasferimento di dati di analisi, traccia e stato di implementazione al piano di gestione.
apigee-watcher Apigee Runtime Agent
roles/apigee.runtimeAgent		 Apigee Watcher estrae le modifiche relative agli host virtuali per un'organizzazione dal sincronizzatore e rende le modifiche necessarie per configurare il traffico Istio in entrata.
* Questo nome viene utilizzato nell'account di servizio scaricato il nome file della chiave.

Oltre a creare gli account di servizio elencati in questa tabella, scarica anche e le relative chiavi private. In un secondo momento, utilizzerai queste chiavi per generare token di accesso in modo da poter accedere alle API Apigee.

Crea gli account di servizio

Esistono diversi modi per creare account di servizio, tra cui:

Ognuna di queste opzioni è descritta nelle sezioni seguenti.

Utilizzare lo strumento di creazione degli account di servizio

Lo strumento create-service-account (disponibile dopo aver scaricato ed espanso apigeectl) crea account di servizio specifici per i componenti ibride e assegna i ruoli richiesti. Lo strumento scarica automaticamente anche le chiavi dell'account di servizio e le archivia sul computer locale nella directory specificata.

Per creare account di servizio con lo strumento create-service-account:

  1. Scarica ed espandi apigeectl (se non l'hai già fatto), come descritto in Scaricare e installare apigeectl.
  2. Crea una directory per archiviare le chiavi degli account di servizio. Ad esempio: 
    mkdir ./service-accounts
  3. Esegui i seguenti comandi: 
    ./tools/create-service-account apigee-metrics ./service-accounts
./tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-distributed-trace ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts

    Questi comandi creano la maggior parte degli account richiesti e memorizzano le relative chiavi nella directory ./service-accounts.

    Se questi comandi non vanno a buon fine, assicurati di fare riferimento a una directory esistente in cui memorizzare i file delle chiavi.

    Per ulteriori informazioni sull'utilizzo di create-service-account, consulta la documentazione di riferimento di create-service-account.

Utilizzare la console Google Cloud

Puoi creare account di servizio con la console Google Cloud.

Per creare account di servizio con la console Google Cloud:

  1. Apri la console Google Cloud e accedi con l'account utente che hai creato nel passaggio 1: creazione di un account Google Cloud.
  2. Seleziona il progetto che hai creato nel Passaggio 2: crea un progetto Google Cloud.
  3. Seleziona IAM e amministrazione > Account di servizio.

    La console mostra la visualizzazione Account di servizio. Questa visualizzazione mostra un elenco agli account di servizio del progetto. Nella maggior parte dei casi, non sono ancora presenti account, anche se nell'elenco potrebbero essere presenti service account predefiniti, a seconda di come hai creato il progetto.

  4. Per creare un nuovo account di servizio, fai clic su + Crea account di servizio nella parte superiore della la vista.

    Viene visualizzata la visualizzazione Dettagli account di servizio.

  5. Nel campo Nome account di servizio, inserisci il nome dell'account di servizio.

    Apigee consiglia di utilizzare un nome che rifletta il ruolo dell'account di servizio; tu puoi impostare il nome dell'account di servizio in modo che corrisponda al nome del componente che lo utilizza. Per Ad esempio, imposta il nome dell'account di servizio Writer log apigee-logger.

    Per ulteriori informazioni sui nomi e sui ruoli degli account di servizio, consulta Account di servizio e ruoli utilizzati dai componenti ibride.

    Quando inserisci un nome, Google Cloud genera un ID account di servizio univoco, strutturato come un indirizzo email, come mostrato nell'esempio seguente:

    ID di esempio di apigee-logger@hybrid-42.iam.gserviceaccount.com

    Se vuoi, puoi aggiungere una descrizione nel campo Descrizione account di servizio. Le descrizioni sono utili per ricordarti quale particolare account di servizio viene utilizzato .

  6. Fai clic su Crea.

    Google Cloud crea un nuovo account di servizio e visualizza l'icona Account di servizio autorizzazioni, come illustrato nell'esempio seguente:

    Creare un account di servizio senza autorizzazioni selezionate

    Utilizza questa vista per assegnare un ruolo al nuovo account di servizio.

  7. Fai clic sull'elenco a discesa Seleziona un ruolo.
  8. Seleziona il ruolo per l'account di servizio, come descritto in Account di servizio e ruoli utilizzati dai componenti ibridi. Se I ruoli Apigee non vengono visualizzati nell'elenco a discesa. Aggiorna la pagina.

    Ad esempio, per il componente di logging, seleziona il ruolo Writer log.

    Se necessario, inserisci del testo per filtrare l'elenco dei ruoli per nome. Ad esempio, per elencare solo Per i ruoli Apigee, inserisci Apigee nel campo del filtro, come mostra l'esempio seguente:

    Elenco delle autorizzazioni dell'account di servizio corrispondenti ad Apigee

    Puoi aggiungere più di un ruolo a un account di servizio, ma Apigee consiglia di utilizzerai un solo ruolo per ciascuno degli account di servizio consigliati. Per modificare i ruoli di un account di servizio dopo averlo creato, utilizza il riquadro IAM e amministrazione in Google Cloud.

  9. Fai clic su Continua.

    Google Cloud mostra la visualizzazione Concedi agli utenti l'accesso a questo account di servizio:

    Campi per il ruolo degli utenti dell'account di servizio e il ruolo degli amministratori dell'account di servizio, pulsante per Crea chiave

  10. In Crea chiave (facoltativo), fai clic su Crea chiave.

    Google Cloud ti offre la possibilità di scaricare una chiave JSON o P12:

    Seleziona il tipo di chiave JSON o P12

  11. Seleziona JSON (valore predefinito) e fai clic su Crea.

    Google Cloud salva il file della chiave in formato JSON sul tuo computer locale e mostra una conferma al termine dell'operazione, come mostrato nell'esempio seguente:

    Esempio di nome file.json

    In seguito, utilizzerai alcune delle chiavi dell'account di servizio per configurare i servizi di runtime ibridi. Ad esempio, quando configuri il runtime ibrido, specificherai la località del servizio delle chiavi dell'account utilizzando le proprietà SERVICE_NAME.serviceAccountPath.

    Queste chiavi vengono utilizzate dagli account di servizio per ottenere token di accesso, che l'account di servizio utilizza poi per inviare richieste alle API Apigee per tuo conto. (Ma non è ancora possibile, per ora ricordati solo dove l'hai salvato.)

  12. Ripeti i passaggi da 4 a 11 per ogni account di servizio elencato in Account di servizio e ruoli utilizzati dai componenti ibride (tranne l'account apigee-mart, che non ha alcun ruolo associato, quindi non assegnargli un ruolo).

    Al termine, dovresti avere i seguenti account di servizio (oltre alla valori predefiniti, se presenti):

    Elenco degli account di servizio. Casella di selezione colonna 1, colonna 2 Email, colonna 3 Stato, colonna 4 nome account di servizio

    Nella console Google Cloud, gli account di servizio sono indicati con Icona di tasto sinistro, metà rettangolo a destra, tutte sottolineate.

Dopo aver creato un account di servizio, se vuoi aggiungere o rimuovere un ruolo, devi utilizzare le API IAM e Amministratore. Non puoi gestire i ruoli per gli account di servizio nella visualizzazione Account di servizio.

Usa le API di creazione degli account di servizio gcloud

Puoi creare e gestire gli account di servizio con l'API Cloud Identity and Access Management.

Per ulteriori informazioni, vedi Creazione in corso e la gestione degli account di servizio.

Risoluzione dei problemi