5단계: 서비스 계정 및 사용자 인증 정보 만들기

이 단계에서는 Apigee Hybrid가 작동하는 데 필요한 Google Cloud 서비스 계정과 TLS 사용자 인증 정보를 만드는 방법을 설명합니다.

서비스 계정 만들기

Apigee Hybrid는 Google Cloud 서비스 계정을 사용하여 승인된 API 호출을 만들어 하이브리드 구성요소가 통신할 수 있도록 합니다.

이 단계에서는 Apigee Hybrid 명령줄 도구를 사용하여 서비스 계정 집합을 만들고 서비스 계정 비공개 키 파일을 다운로드합니다.

Apigee는 서비스 계정을 만들고, 서비스 계정에 역할을 할당하고, 단일 명령어로 서비스 계정의 키 파일을 만들고 다운로드하는 create-service-account 도구를 제공합니다. 관련 Google Cloud 개념에 대한 자세한 내용은서비스 계정 만들기 및 관리와 서비스 계정 키 만들기 및 관리를 참조하세요.

1. 프로젝트 디렉터리 구조 설정에서 구성한 base_directory/hybrid-files 디렉터리에 있는지 확인합니다.
2. hybrid-files 디렉터리 내에서 다음 명령어를 실행합니다. 이 명령어는 비프로덕션 환경에 사용할 apigee-non-prod라는 단일 서비스 계정을 만들고 다운로드한 키 파일을 ./service-accounts 디렉터리에 둡니다.

   ./tools/create-service-account --env non-prod --dir ./service-accounts --project-id PROJECT_ID

   여기서 PROJECT_ID는 서비스 계정을 만들려는 Google Cloud 프로젝트의 프로젝트 ID입니다. create-service-account 구문도 참조하세요.

   다음 프롬프트가 표시되면 y를 입력합니다.

   [INFO]: gcloud configured project ID is project_id.
    Enter: y to proceed with creating service account in project: project_id
    Enter: n to abort.
   

   도구로 할당된 동일한 이름의 SA를 처음 만든 경우 도구에서 이미 생성되었으므로, 사용자가 더 이상 추가 작업을 수행할 필요가 없습니다.

   하지만 다음 메시지 및 프롬프트가 표시되면 y를 입력하여 새 키를 생성합니다.

   [INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
   ...
    [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
    Press: y to generate new keys.(this does not de-activate existing keys)
    Press: n to skip generating new keys.
   

3. 다음 명령어를 사용하여 서비스 계정 키가 생성되었는지 확인합니다. 이러한 비공개 키를 안전하게 보관할 책임은 사용자에게 있습니다. 키 파일 이름에는 Google Cloud 프로젝트 이름이 프리픽스로 추가됩니다.

   ls ./service-accounts

   다음과 같은 결과가 표시됩니다.

   project_id-apigee-non-prod.json

이제 서비스 계정을 만들고 Apigee Hybrid 구성요소에 필요한 역할을 할당했습니다. 그런 후 TLS 인증서가 하이브리드 인그레스 게이트웨이에 필요합니다.

1 2 3 4 5 (다음) 6단계: TLS 인증서 만들기 7 8 9