8단계: 동기화 담당자 액세스 사용 설정

승인 토큰 가져오기

이 주제의 뒷 부분에 설명된 Apigee API 호출을 수행하려면 Apigee 조직 관리자 역할이 있는 승인 토큰을 가져와야 합니다.

Apigee Hybrid 조직과 연관된 Google Cloud 프로젝트의 소유자가 아닌 경우 Google Cloud 사용자 계정에 roles/apigee.admin(Apigee 조직 관리자) 역할이 있는지 확인합니다. 다음 명령어로 할당된 역할을 확인할 수 있습니다.

gcloud projects get-iam-policy $PROJECT_ID  \
--flatten="bindings[].members" \
--format='table(bindings.role)' \
--filter="bindings.members:your_account_email"

예를 들면 다음과 같습니다.

gcloud projects get-iam-policy my-project  \
--flatten="bindings[].members" \
--format='table(bindings.role)' \
--filter="bindings.members:myusername@example.com"

출력은 다음과 같이 표시됩니다.

ROLE
roles/apigee.admin
roles/compute.admin
roles/container.admin
roles/gkehub.admin
roles/iam.serviceAccountAdmin
roles/iam.serviceAccountKeyAdmin
roles/meshconfig.admin
roles/owner
roles/resourcemanager.projectIamAdmin
roles/servicemanagement.admin
roles/serviceusage.serviceUsageAdmin

역할에 roles/apigee.admin이 없으면 사용자 계정에 Apigee 조직 관리자 역할을 추가합니다. 다음 명령어를 사용하여 역할을 사용자 계정에 추가하세요.

gcloud projects add-iam-policy-binding $PROJECT_ID \
  --member user:your_account_email \
  --role roles/apigee.admin

예를 들면 다음과 같습니다.

gcloud projects add-iam-policy-binding my-project \
  --member user:myusername@example.com \
  --role roles/apigee.admin

사용자 계정에 대해 승인 토큰을 가져옵니다.
```
export TOKEN=$(gcloud auth print-access-token)
```
다음 명령어로 $TOKEN 환경 변수를 확인할 수 있습니다.
```
echo $TOKEN
```

동기화 담당자 액세스 사용 설정

동기화 담당자 액세스를 사용 설정하려면 다음 안내를 따르세요.

동기화 담당자 액세스 권한을 부여할 서비스 계정에 대해 이메일 주소를 가져옵니다. 프로덕션 환경(이 튜토리얼의 설명 참조)의 경우 apigee-non-prod여야 합니다. 프로덕션 환경의 경우 apigee-synchronizer여야 합니다. 다음 명령어를 사용하세요.
```
gcloud iam service-accounts list --filter "apigee-non-prod"
```
apigee-non-prod@$ORG_NAME.iam.gserviceaccount.com 패턴과 일치하면 다음 단계에서 이 패턴을 사용할 수 있습니다.

다음 명령어를 사용하여 setSyncAuthorization API를 호출하여 동기화 담당자에 필요한 권한을 사용 설정합니다.

curl -X POST -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/$ORG_NAME:setSyncAuthorization" \
   -d '{"identities":["'"serviceAccount:apigee-non-prod@$ORG_NAME.iam.gserviceaccount.com"'"]}'

각 항목의 의미는 다음과 같습니다.

$ORG_NAME: 하이브리드 조직의 이름입니다.
apigee-non-prod$ORG_NAME.iam.gserviceaccount.com: 서비스 계정의 이메일 주소입니다.

팁: 일부 셸은 bad substitution과 같은 오류를 반환할 수 있습니다. 이 경우 $ORG_NAME을 조직 이름으로 바꾸고 "'"를 다음과 같이 "로 바꿉니다.

curl -X POST -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/YOUR_ORG_NAME:setSyncAuthorization" \
   -d '{"identities":["serviceAccount:apigee-non-prod@YOUR_ORG_NAME.iam.gserviceaccount.com"]}'

서비스 계정이 설정되었는지 확인하려면 다음 명령어로 API를 호출하여 서비스 계정 목록을 가져옵니다.

curl -X POST -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/$ORG_NAME:getSyncAuthorization" \
   -d ''

결과는 다음과 유사합니다.

{
   "identities":[
      "serviceAccount:apigee-non-prod@my_project_id.iam.gserviceaccount.com"
   ],
   "etag":"BwWJgyS8I4w="
}

이제 Apigee Hybrid 런타임 및 관리 영역이 통신할 수 있습니다. 이제 하이브리드 런타임에 구성을 적용하고 Apigee Hybrid 설치를 완료합니다.

1 2 3 4 5 6 7 8 (다음) 9단계: 하이브리드 런타임 설치