第 5 步：创建服务账号和凭据

此步骤介绍了如何创建运行 Apigee Hybrid 所需的 Google Cloud 服务账号和传输层安全协议 (TLS) 凭据。

创建服务账号

Apigee Hybrid 使用 Google Cloud 服务账号来允许 Hybrid 组件通过授权的 API 调用进行通信。

在此步骤中，您将使用 Apigee Hybrid 命令行工具创建一组服务账号并下载服务账号私钥文件。

Apigee 提供了一个工具 create-service-account，可在一个命令中创建服务账号、将角色分配给服务账号以及创建和下载服务账号的密钥文件。如需了解相关的 Google Cloud 概念，请参阅创建和管理服务账号以及创建和管理服务账号密钥。

确保您位于在设置项目目录结构中配置的 base_directory/hybrid-files 目录中。
从 hybrid-files 目录内执行以下命令。此命令会创建一个名为 apigee-non-prod 的服务账号，以用于非生产环境，并将下载的键文件放在 ./service-accounts 目录中。
```
./tools/create-service-account --env non-prod --dir ./service-accounts --project-id PROJECT_ID
```
其中，PROJECT_ID 是您要在其中创建服务账号的 Google Cloud 项目的 ID。另请参阅 create-service-account 语法。
注意：如果您希望为生产环境创建所有单独的服务账号，请使用以下命令：
```
./tools/create-service-account --env prod --dir ./service-accounts
```
当您看到以下提示时，请输入 y：
```
[INFO]: gcloud configured project ID is project_id.
 Enter: y to proceed with creating service account in project: project_id
 Enter: n to abort.
```
如果这是首次创建与工具分配名称相同的 SA，则该工具将仅创建它，您无需执行进一步操作。

但是，如果您看到以下消息和提示，请输入 y 以生成新的密钥：
```
[INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
...
 [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
 Press: y to generate new keys.(this does not de-activate existing keys)
 Press: n to skip generating new keys.
```
注意：您必须在拥有 Synchronizer 服务账号的 Google Cloud 项目中启用 Cloud Pub/Sub API。请参阅启用 API。
使用以下命令验证是否已创建服务账号密钥。您需要确保安全地存储这些私钥。密钥文件名以您的 Google Cloud 项目的名称为前缀。
```
ls ./service-accounts
```
结果应该类似如下所示：
```
project_id-apigee-non-prod.json
```

现在，您已经创建了服务账号并分配了 Apigee Hybrid 组件所需的角色。接下来，混合入站流量网关所需的 TLS 证书。

1 2 3 4 5 （下一步）第 6 步：创建 TLS 证书 7 8 9