サービスアカウントについて

サービスアカウントは Google Cloud の特別なアカウントで、このアカウントを使用すると、システムのコンポーネントやアプリケーションが相互にやり取りしたり、他の API とやり取りしたりできます。Google Cloud の詳細については、Google Cloud サービスについてをご覧ください。

ハイブリッドでは、Google Cloud サービスアカウントを使用して次のようなさまざまなタスクが行われます。

ログと指標データを送信する
トレースリクエストを pull する
管理 API リクエストで API ゲートウェイに接続する
バックアップを実行する
プロキシバンドルをダウンロードする

1 つのサービスアカウントでこれらの操作をすべて行うこともできますが、Apigee では、複数のサービスアカウントを作成して各アカウントに特定のタスクと独自の権限セットを割り当てることが推奨されます。これにより、アクセスを切り分け、各サービスアカウントのスコープとアクセス権を制限して、セキュリティを強化できます。ユーザーアカウントの場合と同様、サービスアカウントに権限を適用する際は 1 つ以上のロールを割り当てます。

ハイブリッドコンポーネントで使用されるサービスアカウントとロール

Apigee ハイブリッドを正常に機能させるには、複数のサービスアカウントを作成する必要があります。サービスアカウントごとに、機能を実行するためのロールを付与する必要があります（複数のロールが必要な場合もあります）。

次の表に、ハイブリッドコンポーネント用のサービスアカウントを示します。

コンポーネント^*	ロール	説明
`apigee-cassandra`	Storage オブジェクト管理者 `roles/storage.objectAdmin`	バックアップと復元で説明されているように、Cassandra が Cloud Storage へのバックアップを実行できるようにします。
`apigee-distributed-trace`	Cloud Trace エージェント `roles/cloudtrace.agent`	ハイブリッドランタイムプレーンが Google Cloud Trace や Jaeger などのシステムとの互換性がある形式で分散リクエストトレースに参加できるようにします。
`apigee-logger`	ログ書き込み `roles/logging.logWriter`	ロギングデータの収集を可能にします（ロギングを参照）。クラスタが GKE 以外にインストールされている場合にのみ必要です。
`apigee-mart`	Apigee Connect エージェント `roles/apigeeconnect.Agent`	MART サービスの認証を可能にします。Apigee Connect エージェントロールにより、Apigee Connect プロセスと安全に通信を行えるようにします（Apigee Connect の使用を参照）。
`apigee-metrics`	モニタリング指標の書き込み `roles/monitoring.metricWriter`	指標データの収集を可能にします（指標収集の概要を参照）。
`apigee-org-admin`	Apigee 組織管理者 `roles/apigee.admin`	ユーザーが getSyncAuthorization API と setSyncAuthorization API を呼び出せるようにします。Apigee 組織管理者は、ランタイムプレーンに対する外部ロールであるため、`create-service-account` ツールでこのロールをサービスアカウントに割り当てることはできません。
`apigee-synchronizer`	Apigee Synchronizer 管理者 `roles/apigee.synchronizerManager`	Synchronizer がプロキシバンドルと環境構成データをダウンロードできるようにします。また、トレース機能も有効にします。
`apigee-udca`	Apigee Analytics エージェント `roles/apigee.analyticsAgent`	トレース、分析、デプロイのステータスデータを管理プレーンに転送できるようにします。
`apigee-watcher`	Apigee ランタイムエージェント `roles/apigee.runtimeAgent`	Apigee Watcher では、synchronizer から組織の仮想ホスト関連の変更を pull し、istio Ingress を構成するために必要な変更が行われます。
^* この名前は、ダウンロードされたサービスアカウントキーのファイル名で使用されます。

この表にあるサービスアカウントを作成するだけでなく、秘密鍵もダウンロードします。後に、これらの鍵を使用してアクセストークンを生成することで、Apigee API にアクセスできます。

サービスアカウントを作成する

サービスアカウントを作成するには、次に挙げる方法があります。

（推奨）create-service-account ツール
Google Cloud コンソール
gcloud SDK

それぞれについては、次のセクションで説明します。

サービスアカウント作成ツールを使用する

create-service-account ツール（apigeectl のダウンロードと展開後に使用可能）を実行すると、ハイブリッドコンポーネント固有のサービスアカウントが作成され、必要なロールが割り当てられます。また、サービスアカウントキーが自動的にダウンロードされ、ローカルマシンの指定ディレクトリに保存されます。

create-service-account ツールでサービスアカウントを作成する

apigeectl のダウンロードとインストールの説明に従って、apigeectl をダウンロードして展開します（まだ行っていない場合）。
サービスアカウントキーを格納するディレクトリを作成します。次に例を示します。
```
mkdir ./service-accounts
```
次のコマンドを実行します。
```
./tools/create-service-account apigee-metrics ./service-accounts
./tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-distributed-trace ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts
```
これらのコマンドを実行すると、必要なアカウントのほとんどが作成され、そのアカウントの鍵が ./service-accounts ディレクトリに保存されます。

上記のコマンドが失敗した場合は、鍵ファイルを保存した既存のディレクトリを参照していることを確認してください。

create-service-account の使用の詳細については、create-service-account のリファレンスをご覧ください。

Google Cloud コンソールを使用する

Google Cloud コンソールを使用してサービスアカウントを作成できます。

Google Cloud コンソールでサービスアカウントを作成するには:

Google Cloud コンソールを開き、ステップ 1: Google Cloud アカウントを作成するで作成したユーザーアカウントでログインします。
ステップ 2: Google Cloud プロジェクトを作成するで作成したプロジェクトを選択します。
[IAM と管理] > [サービスアカウント] を選択します。
コンソールに [サービスアカウント] ビューが表示されます。このビューには、プロジェクトのサービスアカウントの一覧が表示されます（多くの場合、この段階ではまだアカウントは表示されません。プロジェクトの作成方法によっては、デフォルトのサービスアカウントが表示されていることがあります）。
新しいサービスアカウントを作成するには、ビューの上部にある [+ サービスアカウントを作成] をクリックします。
[サービスアカウントの詳細] ビューが表示されます。
[サービスアカウント名] フィールドに、サービスアカウントの名前を入力します。
Apigee では、サービスアカウントのロールを反映した名前を使用することが推奨されます。サービスアカウントの名前には、そのサービスアカウントを使用するコンポーネントと同じ名前に設定することもできます。たとえば、ログ書き込みサービスアカウントの名前を apigee-logger に設定します。

サービスアカウントの名前とロールの詳細については、ハイブリッドコンポーネントで使用されるサービスアカウントとロールをご覧ください。

名前を入力すると、次の例のように、Google Cloud でメールアドレスのような固有のサービスアカウント ID が生成されます。

必要に応じて [サービスアカウントの説明] フィールドに説明を追加できます。説明は、特定のサービスアカウントの用途を把握するのに役立ちます。
[作成] をクリックします。
Google Cloud で新しいサービスアカウントが作成され、次の例のように [サービスアカウント権限] ビューが表示されます。

このビューを使用して、新しいサービスアカウントにロールを割り当てます。
[ロールを選択] プルダウンリストをクリックします。
ハイブリッドコンポーネントで使用されるサービスアカウントとロールの説明に従って、サービスアカウントのロールを選択します。Apigee のロールがプルダウンリストに表示されない場合は、ページを更新してください。
たとえば、ロギングコンポーネントの場合は、[ログ書き込み] ロールを選択します。

必要に応じて、テキストを入力してロールのリストを名前でフィルタリングします。たとえば、Apigee のロールのみを一覧表示するには、次の例のようにフィルタフィールドに Apigee と入力します。

サービスアカウントには複数のロールを追加できますが、Apigee では、推奨されるサービスアカウントごとに 1 つのロールのみを使用することが推奨されます。サービスアカウントの作成後にロールを変更するには、Google Cloud の [IAM と管理] パネルを使用します。

注: 推奨されるサービスアカウントにロールが表示されない場合は、アカウントが正しく構成され、組織がプロビジョニングされたことを Apigee アカウント担当者にご確認ください。
[続行] をクリックします。
Google Cloud に [ユーザーにこのサービスアカウントへのアクセスを許可] ビューが表示されます。
[キーの作成（オプション）] の下にある [キーを作成] をクリックします。
Google Cloud には、JSON または P12 キーのどちらかをダウンロードする選択肢が用意されています。
JSON（デフォルト）を選択し、[作成] をクリックします。
鍵ファイルが JSON 形式でローカルマシンに保存され、成功すると、次のような確認メッセージが表示されます。

後でサービスアカウントキーをいくつか使用して、ハイブリッドランタイムサービスを構成します。たとえば、ハイブリッドランタイムを構成する場合、SERVICE_NAME.serviceAccountPath プロパティを使用して、サービスアカウントキーの場所を指定します。
サービスアカウントは、これらの鍵を使用してアクセストークンを取得した後、トークンを使用しユーザーに代わって Apigee API へのリクエストを送信します（今すぐには使用しませんが、保存した場所は覚えておいてください）。
ハイブリッドコンポーネントで使用されるサービスアカウントとロールに記載されてサービスアカウントごとに手順 4～11 を繰り返します（ただし、apigee-mart アカウントは除きます。このアカウントに関連付けられたロールがないため、ロールを割り当てないでください）。
完了すると、以下のサービスアカウント（デフォルトのサービスアカウントが存在すればそのアカウントも含む）が表示されるはずです。

Google Cloud コンソールでは、サービスアカウントにアイコンが表示されます。