Akun layanan adalah jenis akun khusus di Google Cloud yang memungkinkan komponen dan aplikasi dari suatu sistem untuk berinteraksi satu sama lain dan dengan API lainnya. Untuk informasi selengkapnya tentang Google Cloud, lihat Tentang layanan Google Cloud.
Hybrid menggunakan akun layanan Google Cloud untuk melakukan berbagai tugas, termasuk:
- Kirim data log dan metrik
- Permintaan pengambilan rekaman aktivitas
- Menghubungkan ke gateway API untuk permintaan API administratif
- Menjalankan pencadangan
- Download paket proxy
Meskipun satu akun layanan dapat melakukan semua operasi ini, Apigee merekomendasikan agar Anda akan membuat beberapa akun layanan, yang masing-masing ditetapkan ke tugas tertentu dan masing-masing izin akses. Hal ini meningkatkan keamanan dengan memisahkan akses dan membatasi setiap layanan ruang lingkup dan hak istimewa akses akun Anda. Seperti halnya akun pengguna, izin akses ini diterapkan oleh menetapkan satu atau beberapa peran ke akun layanan.
Akun layanan dan peran yang digunakan oleh komponen campuran
Agar dapat beroperasi dengan benar, Apigee Hybrid mengharuskan Anda membuat beberapa akun layanan. Masing-masing akun layanan memerlukan satu atau beberapa peran tertentu yang memungkinkannya untuk menjalankan fungsinya.
Tabel berikut menjelaskan akun layanan untuk komponen campuran:
Komponen* | Peran | Diperlukan untuk penginstalan dasar? | Deskripsi |
---|---|---|---|
apigee-cassandra |
Admin Objek Penyimpananroles/storage.objectAdmin |
Mengizinkan pencadangan Cassandra ke Cloud Storage, sebagai yang dijelaskan di Pencadangan dan pemulihan. | |
apigee-distributed-trace |
Agen Cloud Traceroles/cloudtrace.agent |
Mengizinkan bidang runtime hybrid untuk berpartisipasi dalam pelacakan permintaan terdistribusi dalam format yang kompatibel dengan sistem seperti Google Cloud Trace dan Jaeger. | |
apigee-logger |
Penulis Logroles/logging.logWriter |
Mengizinkan pengumpulan data logging, seperti yang dijelaskan di Logging. Hanya diperlukan untuk non-GKE penginstalan cluster. | |
apigee-mart |
Agen Apigee Connectroles/apigeeconnect.Agent |
Mengizinkan autentikasi layanan MART. Peran Agen Apigee Connect memungkinkan komunikasi secara aman dengan proses Apigee Connect, seperti yang dijelaskan dalam Menggunakan Apigee Connect. | |
apigee-metrics |
Penulis Metrik Pemantauanroles/monitoring.metricWriter |
Mengizinkan pengumpulan data metrik, seperti yang dijelaskan dalam Metrics ringkasan pengumpulan. | |
apigee-org-admin |
Admin Organisasi Apigeeroles/apigee.admin |
Memungkinkan Anda memanggil getSyncAuthorization API dan
setSyncAuthorization API. Karena Admin Org Apigee adalah peran eksternal bagi Runtime
Anda tidak dapat menetapkan peran ini ke akun layanan dengan
Alat create-service-account . |
|
apigee-synchronizer |
Sinkronisasi Apigee Managerroles/apigee.synchronizerManager |
Mengizinkan sinkronisasi mendownload paket proxy dan konfigurasi lingkungan layanan otomatis dan data skalabel. Juga mengaktifkan pengoperasian fitur rekaman aktivitas. | |
apigee-udca |
Agen Analisis Apigeeroles/apigee.analyticsAgent |
Memungkinkan transfer data trace, analisis, dan status deployment ke manajemen pesawat terbang. | |
apigee-watcher |
Agen Runtime Apigeeroles/apigee.runtimeAgent |
Apigee Watcher mengambil perubahan terkait {i>host<i} virtual untuk suatu organisasi dari {i>synchron<i} dan membuat perubahan yang diperlukan untuk mengonfigurasi ingress istio. | |
* Nama ini digunakan di akun layanan yang didownload nama file kunci. |
Selain membuat akun layanan yang tercantum dalam tabel ini, Anda juga mendownload kunci pribadi mereka. Anda nantinya menggunakan kunci ini untuk menghasilkan token akses sehingga Anda dapat mengakses Apigee API.
Membuat akun layanan
Ada beberapa cara untuk membuat akun layanan, antara lain:
- (Direkomendasikan) Alat
create-service-account
- Konsol Google Cloud
- gcloud SDK
Masing-masing dijelaskan di bagian berikut.
Menggunakan alat pembuatan akun layanan
Alat create-service-account
(tersedia setelah Anda
download dan luaskan apigeectl
) membuat
akun layanan khusus komponen campuran dan menetapkan peran yang diperlukan untuk Anda. Tujuan
otomatis juga mengunduh kunci akun layanan dan
menyimpannya di komputer lokal Anda dengan
direktori yang ditentukan.
Untuk membuat akun layanan dengan alat create-service-account
:
- Download dan luaskan
apigeectl
(jika Anda belum melakukannya), seperti yang dijelaskan di download and install apigeectl. - Buat direktori untuk menyimpan kunci akun layanan Anda. Contoh:
mkdir ./service-accounts
- Jalankan perintah berikut:
./tools/create-service-account apigee-metrics ./service-accounts
./tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-distributed-trace ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts
Perintah ini membuat sebagian besar akun yang diperlukan dan menyimpan kuncinya di Direktori
./service-accounts
.Jika perintah ini gagal, pastikan Anda mereferensikan direktori yang ada untuk menyimpan file kunci.
Untuk informasi selengkapnya tentang penggunaan
create-service-account
, lihat referensi create-service-account.
Menggunakan konsol Google Cloud
Anda dapat membuat akun layanan dengan Konsol Google Cloud.
Untuk membuat akun layanan dengan Konsol Google Cloud:
- Buka Konsol Google Cloud dan login dengan akun pengguna yang Anda buat. Langkah 1: Buat akun Google Cloud.
- Pilih project yang Anda buat di Langkah 2: Buat project Google Cloud.
- Pilih IAM & admin > Akun layanan.
Konsol akan menampilkan tampilan Service accounts. Tampilan ini menampilkan daftar akun layanan proyek. (Biasanya, tidak akan ada akun yang tercantum, meskipun mungkin ada akun layanan default dalam daftar, tergantung pada cara Anda project.)
- Untuk membuat akun layanan baru, klik +Create Service Account di bagian atas
tampilan.
Tampilan Detail akun layanan akan ditampilkan.
- Di kolom Nama akun layanan, masukkan nama akun layanan.
Apigee merekomendasikan agar Anda menggunakan nama yang mencerminkan peran akun layanan; Anda dapat menyetel nama akun layanan menjadi nama yang sama dengan komponen yang menggunakannya. Sebagai misalnya, tetapkan nama akun layanan Penulis Log
apigee-logger
.Untuk informasi selengkapnya tentang nama dan peran akun layanan, lihat Akun dan peran layanan yang digunakan oleh komponen campuran.
Saat Anda memasukkan nama, Google Cloud akan membuat ID akun layanan unik untuk Anda, yaitu seperti alamat email, seperti yang ditunjukkan dalam contoh berikut:
Anda dapat menambahkan deskripsi di Deskripsi akun layanan (opsional) kolom tersebut. Deskripsi sangat membantu untuk mengingatkan Anda tentang penggunaan akun layanan tertentu untuk mereka.
- Klik Create.
Google Cloud membuat akun layanan baru dan menampilkan Service account izin akses, seperti yang ditunjukkan contoh berikut:
Gunakan tampilan ini untuk menetapkan peran ke akun layanan yang baru.
- Klik menu drop-down Select a role.
- Pilih peran untuk akun layanan, seperti yang dijelaskan di
Akun dan peran layanan yang digunakan oleh komponen campuran. Jika
Peran Apigee tidak muncul di menu drop-down, muat ulang halaman.
Misalnya, untuk komponen logging, pilih peran Logs Writer.
Jika perlu, masukkan teks untuk memfilter daftar peran berdasarkan nama. Misalnya, untuk hanya mencantumkan Peran Apigee, masukkan
Apigee
di kolom filter, seperti yang ditunjukkan contoh berikut:Anda dapat menambahkan lebih dari satu peran ke akun layanan, tetapi Apigee merekomendasikannya Anda hanya perlu menggunakan satu peran untuk setiap akun layanan yang direkomendasikan. Untuk mengubah peran setelah Anda membuatnya, gunakan IAM & admin di Google Cloud.
- Klik Lanjutkan.
Google Cloud akan menampilkan tampilan Beri pengguna akses ke akun layanan ini:
- Pada bagian Create key (optional), klik Create Key.
Google Cloud memberi Anda opsi untuk mendownload kunci JSON atau P12:
- Pilih JSON (default), lalu klik Create.
Google Cloud menyimpan file kunci dalam format JSON ke komputer lokal Anda dan menampilkan konfirmasi saat itu berhasil, seperti yang ditunjukkan contoh berikut:
Anda nanti akan menggunakan beberapa kunci akun layanan untuk mengonfigurasi layanan runtime hybrid. Misalnya, saat mengonfigurasi runtime hybrid, Anda akan menentukan lokasi layanan kunci akun menggunakan properti SERVICE_NAME
.serviceAccountPath
.Kunci ini digunakan oleh akun layanan untuk mendapatkan token akses, yang mana akun layanan digunakan untuk membuat permintaan terhadap API Apigee atas nama Anda. (Tapi itu bukan untuk sementara namun; untuk saat ini, cukup ingat di mana Anda menyimpannya.)
- Ulangi langkah 4 hingga 11 untuk setiap akun layanan yang tercantum dalam
Akun dan peran layanan yang digunakan oleh komponen campuran
(kecuali akun
apigee-mart
—yang tidak memiliki peran yang terkait—jadi tidak menetapkan perannya).Setelah selesai, Anda akan memiliki akun layanan berikut (selain default, jika ada):
Di Konsol Google Cloud, akun layanan ditunjukkan dengan Ikon .
Setelah membuat akun layanan, jika ingin menambahkan atau menghapus peran ke akun tersebut, Anda harus menggunakan IAM & Admin. Anda tidak dapat mengelola peran untuk akun layanan di Tampilan Akun layanan.
Menggunakan API pembuatan akun layanan gcloud
Anda dapat membuat dan mengelola akun layanan dengan Cloud Identity and Access Management API.
Untuk informasi selengkapnya, lihat Membuat dan mengelola akun layanan.