Tentang akun layanan

Akun layanan adalah jenis akun khusus di Google Cloud yang memungkinkan komponen dan aplikasi sistem untuk berinteraksi satu sama lain dan dengan API lainnya. Untuk mengetahui informasi selengkapnya tentang Google Cloud, lihat Tentang layanan Google Cloud.

Hybrid menggunakan akun layanan Google Cloud untuk melakukan berbagai tugas, termasuk:

  • Mengirim data log dan metrik
  • Permintaan pull trace
  • Menghubungkan ke gateway API untuk permintaan API administratif
  • Melakukan pencadangan
  • Download paket proxy

Meskipun satu akun layanan dapat menjalankan semua operasi ini, Apigee merekomendasikan agar Anda membuat beberapa akun layanan, yang masing-masing ditetapkan ke tugas tertentu dan masing-masing dengan serangkaian izinnya sendiri. Hal ini akan meningkatkan keamanan dengan mengelompokkan akses serta membatasi cakupan dan hak istimewa akses setiap akun layanan. Seperti halnya akun pengguna, izin ini diterapkan dengan menetapkan satu atau beberapa peran ke akun layanan.

Agar dapat beroperasi dengan benar, Apigee Hybrid mengharuskan Anda membuat beberapa akun layanan. Setiap akun layanan memerlukan peran tertentu atau peran tertentu agar dapat menjalankan fungsinya.

Tabel berikut menjelaskan akun layanan untuk komponen hybrid:

Komponen* Peran Diperlukan untuk penginstalan dasar? Deskripsi
apigee-cassandra Admin Objek Penyimpanan
roles/storage.objectAdmin		 Mengizinkan pencadangan Cassandra ke Cloud Storage, seperti yang dijelaskan dalam Pencadangan dan pemulihan.
apigee-distributed-trace Agen Cloud Trace
roles/cloudtrace.agent		 Memungkinkan bidang runtime hybrid untuk berpartisipasi dalam pelacakan permintaan terdistribusi dalam format yang kompatibel dengan sistem seperti Google Cloud Trace dan Jaeger.
apigee-logger Penulis Log
roles/logging.logWriter		 Mengizinkan pengumpulan data logging, seperti yang dijelaskan dalam Logging. Hanya diperlukan untuk penginstalan cluster non-GKE.
apigee-mart Agen Apigee Connect
roles/apigeeconnect.Agent		 Mengizinkan autentikasi layanan MART. Peran Agen Apigee Connect memungkinkannya berkomunikasi secara aman dengan proses Apigee Connect, seperti yang dijelaskan dalam Menggunakan Apigee Connect.
apigee-metrics Penulis Metrik Pemantauan
roles/monitoring.metricWriter		 Memungkinkan pengumpulan data metrik, seperti yang dijelaskan dalam Ringkasan pengumpulan metrik.
apigee-org-admin Admin Organisasi Apigee
roles/apigee.admin		 Memungkinkan Anda memanggil getSyncAuthorization API dan setSyncAuthorization API. Karena Admin Org Apigee adalah peran eksternal untuk bidang Runtime, Anda tidak dapat menetapkan peran ini ke akun layanan dengan alat create-service-account.
apigee-synchronizer Pengelola Sinkronisasi Apigee
roles/apigee.synchronizerManager		 Memungkinkan sinkronisasi mendownload paket proxy dan data konfigurasi lingkungan. Juga mengaktifkan operasi fitur rekaman aktivitas.
apigee-udca Agen Analisis Apigee
roles/apigee.analyticsAgent		 Memungkinkan transfer data pelacakan, analisis, dan status deployment ke bidang pengelolaan.
apigee-watcher Agen Runtime Apigee
roles/apigee.runtimeAgent		 Apigee Watcher mengambil perubahan terkait host virtual untuk sebuah organisasi dari sinkronisasi dan membuat perubahan yang diperlukan untuk mengonfigurasi ingress istio.
* Nama ini digunakan pada nama file kunci akun layanan yang didownload.

Selain membuat akun layanan yang tercantum dalam tabel ini, Anda juga mendownload kunci pribadinya. Nantinya Anda akan menggunakan kunci ini untuk membuat token akses sehingga dapat mengakses Apigee API.

Membuat akun layanan

Ada beberapa cara untuk membuat akun layanan, termasuk:

Setiap hal tersebut dijelaskan di bagian berikut.

Menggunakan alat pembuatan akun layanan

Alat create-service-account (tersedia setelah Anda mendownload dan memperluas apigeectl) membuat akun layanan khusus komponen hybrid dan menetapkan peran yang diperlukan untuk Anda. Alat ini juga otomatis mendownload kunci akun layanan dan menyimpannya di komputer lokal Anda dalam direktori yang ditentukan.

Untuk membuat akun layanan dengan alat create-service-account:

  1. Download dan luaskan apigeectl (jika Anda belum melakukannya), seperti yang dijelaskan dalam mendownload dan menginstal apigeectl.
  2. Buat direktori untuk menyimpan kunci akun layanan Anda. Contoh: 
    mkdir ./service-accounts
  3. Jalankan perintah berikut: 
    ./tools/create-service-account apigee-metrics ./service-accounts
./tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-distributed-trace ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts

    Perintah ini membuat sebagian besar akun yang diperlukan dan menyimpan kuncinya di direktori ./service-accounts.

    Jika perintah ini gagal, pastikan Anda mereferensikan direktori yang ada untuk menyimpan file kunci.

    Untuk mengetahui informasi selengkapnya tentang penggunaan create-service-account, lihat referensi pembuatan akun layanan.

Menggunakan konsol Google Cloud

Anda dapat membuat akun layanan dengan konsol Google Cloud.

Untuk membuat akun layanan dengan Konsol Google Cloud:

  1. Buka Konsol Google Cloud dan login dengan akun pengguna yang Anda buat di Langkah 1: Buat akun Google Cloud.
  2. Pilih project yang Anda buat di Langkah 2: Buat project Google Cloud.
  3. Pilih IAM & admin > Service accounts.

    Konsol akan menampilkan tampilan Service accounts. Tampilan ini menampilkan daftar akun layanan project. (Pada umumnya, belum ada akun yang tercantum, meskipun mungkin ada akun layanan default dalam daftar, bergantung pada cara Anda membuat project.)

  4. Untuk membuat akun layanan baru, klik +Create Service Account di bagian atas tampilan.

    Tampilan Detail akun layanan akan ditampilkan.

  5. Di kolom Nama akun layanan, masukkan nama akun layanan.

    Apigee merekomendasikan agar Anda menggunakan nama yang mencerminkan peran akun layanan; Anda dapat menetapkan nama akun layanan agar sama dengan nama komponen yang menggunakannya. Misalnya, tetapkan nama akun layanan Logs Writer apigee-logger.

    Untuk mengetahui informasi selengkapnya tentang nama dan peran akun layanan, lihat Akun dan peran layanan yang digunakan oleh komponen hybrid.

    Saat Anda memasukkan nama, Google Cloud akan menghasilkan ID akun layanan unik untuk Anda, yang strukturnya seperti alamat email, seperti yang ditunjukkan contoh berikut:

    Contoh ID apigee-logger@hybrid-42.iam.gserviceaccount.com

    Jika ingin, Anda dapat menambahkan deskripsi di kolom Service account description. Deskripsi berguna mengingatkan Anda untuk apa akun layanan tertentu digunakan.

  6. Klik Create.

    Google Cloud membuat akun layanan baru dan menampilkan tampilan Izin akun layanan, seperti yang ditunjukkan dalam contoh berikut:

    Buat akun layanan tanpa izin yang dipilih

    Gunakan tampilan ini untuk menetapkan peran ke akun layanan baru Anda.

  7. Klik menu drop-down Select a role.
  8. Pilih peran untuk akun layanan, seperti yang dijelaskan di Akun layanan dan peran yang digunakan oleh komponen hybrid. Jika peran Apigee tidak muncul dalam menu drop-down, muat ulang halaman.

    Misalnya, untuk komponen logging, pilih peran Logs Writer.

    Jika perlu, masukkan teks untuk memfilter daftar peran berdasarkan nama. Misalnya, untuk mencantumkan peran Apigee saja, masukkan Apigee di kolom filter, seperti yang ditunjukkan contoh berikut:

    Daftar izin akun layanan yang cocok dengan Apigee

    Anda dapat menambahkan lebih dari satu peran ke akun layanan, tetapi Apigee merekomendasikan agar Anda hanya menggunakan satu peran untuk setiap akun layanan yang direkomendasikan. Untuk mengubah peran akun layanan setelah dibuat, gunakan panel IAM & admin di Google Cloud.

  9. Klik Lanjutkan.

    Google Cloud akan menampilkan tampilan Beri pengguna akses ke akun layanan ini:

    Kolom untuk peran Pengguna akun layanan dan peran Admin akun layanan, tombol untuk Buat kunci

  10. Di bagian Create key (optional), klik Create Key.

    Google Cloud memberi Anda opsi untuk mendownload kunci JSON atau P12:

    Pilih jenis kunci JSON atau P12

  11. Pilih JSON (default), lalu klik Create.

    Google Cloud menyimpan file kunci dalam format JSON ke komputer lokal Anda dan menampilkan konfirmasi jika berhasil, seperti yang ditunjukkan contoh berikut:

    Contoh namafile.json

    Anda akan menggunakan beberapa kunci akun layanan tersebut nanti untuk mengonfigurasi layanan runtime hybrid. Misalnya, saat mengonfigurasi runtime hybrid, Anda akan menentukan lokasi kunci akun layanan menggunakan properti SERVICE_NAME.serviceAccountPath.

    Kunci ini digunakan oleh akun layanan untuk mendapatkan token akses, yang kemudian digunakan akun layanan untuk membuat permintaan terhadap Apigee API untuk Anda. (Tapi itu belum berlangsung lama; untuk saat ini, ingat tempat Anda menyimpannya.)

  12. Ulangi langkah 4 sampai 11 untuk setiap akun layanan yang tercantum di Akun layanan dan peran yang digunakan oleh komponen campuran (kecuali akun apigee-mart yang tidak memiliki peran yang terkait dengannya, jadi jangan tetapkan peran).

    Setelah selesai, Anda akan memiliki akun layanan berikut (selain default, jika ada):

    Daftar akun layanan. Kolom 1 kotak pilihan, kolom 2 Email, kolom 3 Status, kolom 4 nama akun layanan

    Di konsol Google Cloud, akun layanan ditunjukkan dengan ikon tombol sisi kiri, persegi panjang setengah sisi kanan, semuanya digarisbawahi.

Setelah membuat akun layanan, jika ingin menambahkan atau menghapus peran ke akun tersebut, Anda harus menggunakan tampilan IAM & Admin. Anda tidak dapat mengelola peran untuk akun layanan di tampilan Akun layanan.

Menggunakan API pembuatan akun layanan gcloud

Anda dapat membuat dan mengelola akun layanan dengan Cloud Identity and Access Management API.

Untuk mengetahui informasi selengkapnya, lihat Membuat dan mengelola akun layanan.

Pemecahan masalah