このステップでは、Apigee ハイブリッドの運用に必要な Google Cloud サービス アカウントと TLS 認証情報を作成する方法について説明します。
サービス アカウントを作成する
Apigee ハイブリッドでは Google Cloud サービス アカウントを使用して、認可された API 呼び出しによるハイブリッド コンポーネント間の通信が許可されます。
このステップでは、Apigee ハイブリッド コマンドライン ツールを使用して、一連のサービス アカウントを作成し、サービス アカウントの秘密鍵ファイルをダウンロードします。
Apigee が提供するツールである create-service-account を使用すると、1 つのコマンドでサービス アカウントを作成し、サービス アカウントにロールを割り当て、サービス アカウントのキーファイルを作成してダウンロードできます。関連する Google Cloud のコンセプトの詳細については、サービス アカウントの作成と管理とサービス アカウント キーの作成と管理をご覧ください。
-
プロジェクト ディレクトリ構造を設定するで構成した
base_directory/hybrid-filesディレクトリ内にいることを確認します。 -
hybrid-filesディレクトリ内から次のコマンドを実行します。このコマンドにより、非本番環境で使用するapigee-non-prodという名前の単一のサービス アカウントが作成され、ダウンロードしたキーファイルが./service-accountsディレクトリに配置されます。./tools/create-service-account --env non-prod --dir ./service-accounts --project-id PROJECT_ID
ここで、PROJECT_ID はサービス アカウントを作成する Google Cloud プロジェクトのプロジェクト ID です。create-service-account の構文もご覧ください。
次のプロンプトが表示されたら、「y」と入力します。
[INFO]: gcloud configured project ID is project_id. Enter: y to proceed with creating service account in project: project_id Enter: n to abort.
ツールが割り当てた名前で SA を初めて作成する場合は、ツールが作成するため他の操作は不要です。
ただし、次のメッセージとプロンプトが表示されたら、「y」を入力して新しい鍵を生成してください。
[INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists. ... [INFO]: The service account might have keys associated with it. It is recommended to use existing keys. Press: y to generate new keys.(this does not de-activate existing keys) Press: n to skip generating new keys.
-
次のコマンドを使用して、サービス アカウント キーが作成されたことを確認します。これらの秘密鍵は安全に保存する必要があります。鍵ファイルの名前の先頭に、Google Cloud プロジェクトの名前が付加されます。
ls ./service-accounts
結果は次のようになります。
project_id-apigee-non-prod.json
これで、サービス アカウントが作成され、Apigee ハイブリッド コンポーネントに必要なロールが割り当てられました。次は、ハイブリッド Ingress ゲートウェイに必要な TLS 証明書です。
1 2 3 4 5 (次)ステップ 6: TLS 証明書を作成する 7 8 9