Tentang akun layanan

Akun layanan adalah jenis akun khusus di Google Cloud yang memungkinkan komponen dan aplikasi dari suatu sistem untuk berinteraksi satu sama lain dan dengan API lainnya. Untuk informasi selengkapnya tentang Google Cloud, lihat Tentang layanan Google Cloud.

Hybrid menggunakan akun layanan Google Cloud untuk melakukan berbagai tugas, termasuk:

  • Kirim data log dan metrik
  • Permintaan pengambilan rekaman aktivitas
  • Menghubungkan ke gateway API untuk permintaan API administratif
  • Menjalankan pencadangan
  • Download paket proxy

Meskipun satu akun layanan dapat melakukan semua operasi ini, Apigee merekomendasikan agar Anda akan membuat beberapa akun layanan, yang masing-masing ditetapkan ke tugas tertentu dan masing-masing izin akses. Hal ini meningkatkan keamanan dengan memisahkan akses dan membatasi setiap layanan ruang lingkup dan hak istimewa akses akun Anda. Seperti halnya akun pengguna, izin akses ini diterapkan oleh menetapkan satu atau beberapa peran ke akun layanan.

Agar dapat beroperasi dengan benar, Apigee Hybrid mengharuskan Anda membuat beberapa akun layanan. Masing-masing akun layanan memerlukan satu atau beberapa peran tertentu yang memungkinkannya untuk menjalankan fungsinya.

Tabel berikut menjelaskan akun layanan untuk komponen campuran:

Komponen* Peran Diperlukan untuk penginstalan dasar? Deskripsi
apigee-cassandra Admin Objek Penyimpanan
roles/storage.objectAdmin
Mengizinkan pencadangan Cassandra ke Cloud Storage, sebagai yang dijelaskan di Pencadangan dan pemulihan.
apigee-distributed-trace Agen Cloud Trace
roles/cloudtrace.agent
Mengizinkan bidang runtime hybrid untuk berpartisipasi dalam pelacakan permintaan terdistribusi dalam format yang kompatibel dengan sistem seperti Google Cloud Trace dan Jaeger.
apigee-logger Penulis Log
roles/logging.logWriter
Mengizinkan pengumpulan data logging, seperti yang dijelaskan di Logging. Hanya diperlukan untuk non-GKE penginstalan cluster.
apigee-mart Agen Apigee Connect
roles/apigeeconnect.Agent
Mengizinkan autentikasi layanan MART. Peran Agen Apigee Connect memungkinkan komunikasi secara aman dengan proses Apigee Connect, seperti yang dijelaskan dalam Menggunakan Apigee Connect.
apigee-metrics Penulis Metrik Pemantauan
roles/monitoring.metricWriter
Mengizinkan pengumpulan data metrik, seperti yang dijelaskan dalam Metrics ringkasan pengumpulan.
apigee-org-admin Admin Organisasi Apigee
roles/apigee.admin
Memungkinkan Anda memanggil getSyncAuthorization API dan setSyncAuthorization API. Karena Admin Org Apigee adalah peran eksternal bagi Runtime Anda tidak dapat menetapkan peran ini ke akun layanan dengan Alat create-service-account.
apigee-synchronizer Sinkronisasi Apigee Manager
roles/apigee.synchronizerManager
Mengizinkan sinkronisasi mendownload paket proxy dan konfigurasi lingkungan layanan otomatis dan data skalabel. Juga mengaktifkan pengoperasian fitur rekaman aktivitas.
apigee-udca Agen Analisis Apigee
roles/apigee.analyticsAgent
Memungkinkan transfer data trace, analisis, dan status deployment ke manajemen pesawat terbang.
apigee-watcher Agen Runtime Apigee
roles/apigee.runtimeAgent
Apigee Watcher mengambil perubahan terkait {i>host<i} virtual untuk suatu organisasi dari {i>synchron<i} dan membuat perubahan yang diperlukan untuk mengonfigurasi ingress istio.
* Nama ini digunakan di akun layanan yang didownload nama file kunci.

Selain membuat akun layanan yang tercantum dalam tabel ini, Anda juga mendownload kunci pribadi mereka. Anda nantinya menggunakan kunci ini untuk menghasilkan token akses sehingga Anda dapat mengakses Apigee API.

Membuat akun layanan

Ada beberapa cara untuk membuat akun layanan, antara lain:

Masing-masing dijelaskan di bagian berikut.

Menggunakan alat pembuatan akun layanan

Alat create-service-account (tersedia setelah Anda download dan luaskan apigeectl) membuat akun layanan khusus komponen campuran dan menetapkan peran yang diperlukan untuk Anda. Tujuan otomatis juga mengunduh kunci akun layanan dan menyimpannya di komputer lokal Anda dengan direktori yang ditentukan.

Untuk membuat akun layanan dengan alat create-service-account:

  1. Download dan luaskan apigeectl (jika Anda belum melakukannya), seperti yang dijelaskan di download and install apigeectl.
  2. Buat direktori untuk menyimpan kunci akun layanan Anda. Contoh:
    mkdir ./service-accounts
  3. Jalankan perintah berikut:
    ./tools/create-service-account apigee-metrics ./service-accounts
    ./tools/create-service-account apigee-synchronizer ./service-accounts
    ./tools/create-service-account apigee-distributed-trace ./service-accounts
    ./tools/create-service-account apigee-udca ./service-accounts
    ./tools/create-service-account apigee-mart ./service-accounts
    ./tools/create-service-account apigee-cassandra ./service-accounts
    ./tools/create-service-account apigee-logger ./service-accounts

    Perintah ini membuat sebagian besar akun yang diperlukan dan menyimpan kuncinya di Direktori ./service-accounts.

    Jika perintah ini gagal, pastikan Anda mereferensikan direktori yang ada untuk menyimpan file kunci.

    Untuk informasi selengkapnya tentang penggunaan create-service-account, lihat referensi create-service-account.

Menggunakan konsol Google Cloud

Anda dapat membuat akun layanan dengan Konsol Google Cloud.

Untuk membuat akun layanan dengan Konsol Google Cloud:

  1. Buka Konsol Google Cloud dan login dengan akun pengguna yang Anda buat. Langkah 1: Buat akun Google Cloud.
  2. Pilih project yang Anda buat di Langkah 2: Buat project Google Cloud.
  3. Pilih IAM & admin > Akun layanan.

    Konsol akan menampilkan tampilan Service accounts. Tampilan ini menampilkan daftar akun layanan proyek. (Biasanya, tidak akan ada akun yang tercantum, meskipun mungkin ada akun layanan default dalam daftar, tergantung pada cara Anda project.)

  4. Untuk membuat akun layanan baru, klik +Create Service Account di bagian atas tampilan.

    Tampilan Detail akun layanan akan ditampilkan.

  5. Di kolom Nama akun layanan, masukkan nama akun layanan.

    Apigee merekomendasikan agar Anda menggunakan nama yang mencerminkan peran akun layanan; Anda dapat menyetel nama akun layanan menjadi nama yang sama dengan komponen yang menggunakannya. Sebagai misalnya, tetapkan nama akun layanan Penulis Log apigee-logger.

    Untuk informasi selengkapnya tentang nama dan peran akun layanan, lihat Akun dan peran layanan yang digunakan oleh komponen campuran.

    Saat Anda memasukkan nama, Google Cloud akan membuat ID akun layanan unik untuk Anda, yaitu seperti alamat email, seperti yang ditunjukkan dalam contoh berikut:

    Contoh ID apigee-logger@hybrid-42. {i><i}

    Anda dapat menambahkan deskripsi di Deskripsi akun layanan (opsional) kolom tersebut. Deskripsi sangat membantu untuk mengingatkan Anda tentang penggunaan akun layanan tertentu untuk mereka.

  6. Klik Create.

    Google Cloud membuat akun layanan baru dan menampilkan Service account izin akses, seperti yang ditunjukkan contoh berikut:

    Buat akun layanan tanpa izin yang dipilih

    Gunakan tampilan ini untuk menetapkan peran ke akun layanan yang baru.

  7. Klik menu drop-down Select a role.
  8. Pilih peran untuk akun layanan, seperti yang dijelaskan di Akun dan peran layanan yang digunakan oleh komponen campuran. Jika Peran Apigee tidak muncul di menu drop-down, muat ulang halaman.

    Misalnya, untuk komponen logging, pilih peran Logs Writer.

    Jika perlu, masukkan teks untuk memfilter daftar peran berdasarkan nama. Misalnya, untuk hanya mencantumkan Peran Apigee, masukkan Apigee di kolom filter, seperti yang ditunjukkan contoh berikut:

    Daftar izin akun layanan cocok dengan Apigee

    Anda dapat menambahkan lebih dari satu peran ke akun layanan, tetapi Apigee merekomendasikannya Anda hanya perlu menggunakan satu peran untuk setiap akun layanan yang direkomendasikan. Untuk mengubah peran setelah Anda membuatnya, gunakan IAM & admin di Google Cloud.

  9. Klik Lanjutkan.

    Google Cloud akan menampilkan tampilan Beri pengguna akses ke akun layanan ini:

    Kolom untuk peran pengguna Akun layanan dan peran Admin akun layanan, tombol untuk Buat kunci

  10. Pada bagian Create key (optional), klik Create Key.

    Google Cloud memberi Anda opsi untuk mendownload kunci JSON atau P12:

    Pilih jenis kunci JSON atau P12

  11. Pilih JSON (default), lalu klik Create.

    Google Cloud menyimpan file kunci dalam format JSON ke komputer lokal Anda dan menampilkan konfirmasi saat itu berhasil, seperti yang ditunjukkan contoh berikut:

    Contoh namafile.json

    Anda nanti akan menggunakan beberapa kunci akun layanan untuk mengonfigurasi layanan runtime hybrid. Misalnya, saat mengonfigurasi runtime hybrid, Anda akan menentukan lokasi layanan kunci akun menggunakan properti SERVICE_NAME.serviceAccountPath.

    Kunci ini digunakan oleh akun layanan untuk mendapatkan token akses, yang mana akun layanan digunakan untuk membuat permintaan terhadap API Apigee atas nama Anda. (Tapi itu bukan untuk sementara namun; untuk saat ini, cukup ingat di mana Anda menyimpannya.)

  12. Ulangi langkah 4 hingga 11 untuk setiap akun layanan yang tercantum dalam Akun dan peran layanan yang digunakan oleh komponen campuran (kecuali akun apigee-mart—yang tidak memiliki peran yang terkait—jadi tidak menetapkan perannya).

    Setelah selesai, Anda akan memiliki akun layanan berikut (selain default, jika ada):

    Daftar akun layanan. Kotak pilihan Kolom 1, kolom 2 Email, kolom 3 Status, kolom 4 nama akun layanan

    Di Konsol Google Cloud, akun layanan ditunjukkan dengan Ikon tombol samping kiri, sisi kanan setengah persegi panjang, semua digarisbawahi.

Setelah membuat akun layanan, jika ingin menambahkan atau menghapus peran ke akun tersebut, Anda harus menggunakan IAM & Admin. Anda tidak dapat mengelola peran untuk akun layanan di Tampilan Akun layanan.

Menggunakan API pembuatan akun layanan gcloud

Anda dapat membuat dan mengelola akun layanan dengan Cloud Identity and Access Management API.

Untuk informasi selengkapnya, lihat Membuat dan mengelola akun layanan.

Pemecahan masalah