Sobre contas de serviço

Uma conta de serviço é um tipo especial de conta do Google Cloud que permite que os componentes e os aplicativos de um sistema interajam entre si e com outras APIs. Para mais informações sobre o Google Cloud, consulte Sobre os serviços do Google Cloud.

O híbrido usa contas de serviço do Google Cloud para realizar várias tarefas, como:

Enviar dados de registros e métricas
Solicitações de rastreamento de pull
Conectar-se ao gateway da API para solicitações administrativas de API
Executar backups
Fazer o download de pacotes proxy

Ainda que uma conta de serviço possa executar todas essas operações para ambientes de produção, a Apigee recomenda que você crie várias contas de serviço, cada uma atribuída a uma tarefa específica e cada uma com o próprio conjunto de permissões. Isso reforça a segurança ao compartimentar o acesso e limitar o escopo e os privilégios de acesso de cada conta de serviço. Assim como acontece com as contas de usuário, essas permissões são aplicadas atribuindo um ou mais papéis à conta de serviço.

Contas de serviço e papéis usados por componentes híbridos

Para operar corretamente, a Apigee híbrida exige que você crie várias contas de serviço. Cada conta de serviço requer um ou mais papéis específicos que permitam que ela execute a respectiva função.

A tabela a seguir descreve as contas de serviço dos componentes híbridos. Os nomes fornecidos para cada conta de serviço são os nomes padrão. Use os nomes que quiser, mas eles são fáceis de identificar de acordo com a finalidade de cada conta.

Componente^*	Papel	Descrição
`apigee-cassandra`	Administrador de objetos do Storage `roles/storage.objectAdmin`	Permite backups do Cassandra para o Cloud Storage, conforme descrito em Backup e recuperação.
`apigee-distributed-trace`	Agente do Cloud Trace `roles/cloudtrace.agent`	Permite que o plano de ambiente de execução híbrido participe do rastreamento de solicitações distribuídas em um formato compatível com sistemas como o Google Cloud Trace e o Jaeger.
`apigee-logger`	Gravador de registros `roles/logging.logWriter`	Permite a coleta de dados de geração de registros, conforme descrito em Geração de registros. Obrigatório apenas para instalações de cluster que não são do GKE.
`apigee-mart`	Agente do Apigee Connect `roles/apigeeconnect.Agent`	Permite a autenticação do serviço MART. O papel de Agente do Apigee Connect permite a comunicação com segurança com o processo do Apigee Connect, conforme descrito em Como usar o Apigee Connect.
`apigee-metrics`	Gravador de métricas do Monitoring `roles/monitoring.metricWriter`	Permite a coleta de dados de métricas, conforme descrito na Visão geral da coleta de métricas.
`apigee-synchronizer`	Gerenciador de sincronização da Apigee `roles/apigee.synchronizerManager`	Permite que o sincronizador faça o download de pacotes de proxy e dados de configuração do ambiente. Ativa também a operação do recurso de rastreamento.
`apigee-udca`	Agente de análise da Apigee `roles/apigee.analyticsAgent`	Permite a transferência de dados de status de rastreamento, análise e implantação para o plano de gerenciamento.
`apigee-watcher`	Agente do ambiente de execução da Apigee `roles/apigee.runtimeAgent`	O Apigee Watcher extrai alterações virtuais dos hosts relacionados a uma organização no sincronizador e faz as alterações necessárias para configurar a entrada istio.
^* Esse nome é usado no nome de arquivo da chave da conta de serviço baixado.

Como alternativa, para ambientes de não produção, teste e demonstração, é possível usar uma única conta de serviço com todos os papéis atribuídos a ela. Isso não é recomendado para ambientes de produção.

Componente^*	Papel	Necessário para instalação básica?	Descrição
`apigee-non-prod`	Agente de análise da Apigee, agente da Apigee Connect, administrador da organização da Apigee, agente de ambiente de execução da Apigee, gerenciador de sincronização da Apigee, agente do Cloud Trace, gravador de registros, gravador de métricas de monitoramento, administrador de objeto de armazenamento	Ou todas as SAs necessárias acima	Uma única conta de serviço para ambientes de demonstração ou teste. Consulte Instação, Parte 2, Etapa 5: criar contas de serviço.

Além de criar as contas de serviço listadas nesta tabela, você usará chaves privadas de cada conta para gerar tokens de acesso e acessar as APIs Apigee. A ferramenta create-service-account faz o download automático dos arquivos de chave para um diretório na máquina local quando cria ou atualiza as contas de serviço.

Criar contas de serviço

Há várias maneiras de criar contas de serviço, incluindo:

(Recomendado) ferramenta create-service-account
Console do Google Cloud
SDK da gcloud

Cada um deles é descrito nas seções a seguir.

Usar a ferramenta `create-service-account`

A ferramenta create-service-account estará disponível depois que você fizer o download e expandir apigeectl no diretório tools/. Ele torna híbridas as contas de serviço específicas de componentes e atribui os papéis necessários para você. A ferramenta também faz o download automático das chaves da conta de serviço e as armazena na máquina local.

Por exemplo, o comando a seguir cria todas as contas de serviço individuais separadas de um ambiente de produção, atribui os papéis apropriados do IAM a cada conta de serviço e faz o download de cada arquivo de chave privada de contas para o diretório ./service-accounts:

./tools/create-service-account --env prod

O comando a seguir cria uma única conta de serviço chamada apigee-non-prod com todos os papéis do IAM para todos os componentes híbridos, adequada para ambientes de demonstração e teste, mas não para ambientes de produção:

./tools/create-service-account --env non-prod

Para saber mais sobre o uso de create-service-account, consulte a referência de criação de conta de serviço.

Usar o Console do Google Cloud

É possível criar contas de serviço com o Console do Google Cloud.

Conclua as etapas a seguir para cada conta de serviço listada em Contas de serviço e papéis usados por componentes híbridos.

Observação: para criar contas de serviço no Console do Google Cloud, é necessário ter o papel "Administrador da conta de serviço" (roles/iam.serviceAccountAdmin ) ou outro papel com a permissão iam.serviceAccounts.create.

Para criar uma conta de serviço com o Console do Google Cloud e gerar uma chave para ela, faça o seguinte:

Crie uma conta de serviço:
1. No Console do Cloud, acesse a página Contas de serviço.
  
  Acessar a página "Contas de serviço"
2. Selecione o projeto.
3. Clique em Criar conta de serviço.
4. No campo Nome da conta de serviço, insira um nome. O Console do Cloud preenche o campo ID da conta de serviço com base nesse nome.
  
  A Apigee recomenda que você use um nome que reflita o papel da conta de serviço. É possível definir o nome da conta de serviço como o mesmo nome do componente que o utiliza. Por exemplo, defina o nome da conta de serviço do gravador de registros como apigee-logger.
  
  Para saber mais sobre nomes e papéis de contas de serviço, consulte Contas de serviço e papéis usados por componentes híbridos.
5. Opcional: preencha o campo Descrição da conta de serviço. As descrições são úteis para lembrar você sobre como uma conta de serviço específica é usada.
6. Clique em Criar e continuar.
7. Clique no campo Selecionar um papel e selecione um papel, conforme descrito em Contas de serviço e papéis usados por componentes híbridos. Se os papéis da Apigee não aparecerem na lista suspensa, atualize a página.
  
  Por exemplo, para o componente de geração de registros, selecione o papel de gravador de registros.
  
  Se necessário, insira o texto para filtrar a lista de papéis por nome. Por exemplo, para listar somente os papéis da Apigee, insira Apigee no campo de filtro.
  
  É possível adicionar mais de um papel a uma conta de serviço, mas a Apigee recomenda usar apenas um papel para cada uma das contas de serviço recomendadas. Para alterar os papéis de uma conta de serviço depois de criá-la, use a página IAM no Console do Cloud.
  
  Observação: se você não vir os papéis listados em Contas de serviço recomendadas, verifique com seu representante da conta da Apigee para confirmar se sua conta foi configurada corretamente e se a organização foi provisionada.
8. Clique em Concluído para terminar a criação da conta de serviço.
  
  Não feche a janela do navegador. Você vai usá-la na próxima etapa.
Faça o download de uma chave JSON para a conta de serviço que você acabou de criar:
1. No console do Cloud, clique no endereço de e-mail da conta de serviço que você criou.
2. Clique em Chaves.
3. Clique em Adicionar chave e em Criar nova chave.
4. Clique em Criar. O download de um arquivo de chave JSON é feito no seu computador.
  
  Armazene o arquivo de chave com segurança, porque ele pode ser usado para autenticar como sua conta de serviço. Mova e renomeie esse arquivo como quiser.
  
  Posteriormente, você usará algumas das chaves da conta de serviço para configurar os serviços de ambiente de execução híbrido. Por exemplo, ao configurar o ambiente de execução híbrido, você especifica o local das chaves da conta de serviço usando as propriedades SERVICE_NAME.serviceAccountPath.
  
  Essas chaves são usadas pelas contas de serviço para conseguir tokens de acesso, que serão usados para fazer solicitações nas APIs Apigee em seu nome. Mas isso ainda não será usado agora. Por enquanto, lembre-se de onde você salvou.
5. Clique em Fechar.

Depois de criar uma conta de serviço, se você quiser adicionar ou remover um papel, use a página IAM no Console do Cloud. Não é possível gerenciar papéis para contas de serviço na visualização Contas de serviço.

Usar APIs de criação de conta de serviço da gcloud

É possível criar e gerenciar contas de serviço com a API Cloud Identity and Access Management.

Para mais informações, consulte Como criar e gerenciar contas de serviço.