Etapa 5: criar contas de serviço e credenciais

Nesta etapa, você verá como criar as contas de serviço do Google Cloud e as credenciais TLS necessárias para que o Apigee híbrido funcione.

Criar contas de serviço

A Apigee híbrida usa contas de serviço do Google Cloud para permitir que os componentes híbridos se comuniquem fazendo chamadas de API autorizadas.

Nesta etapa, você usa uma ferramenta de linha de comando híbrida da Apigee para criar um conjunto de contas de serviço e fazer o download dos arquivos de chave privada da conta de serviço.

A Apigee fornece uma ferramenta, create-service-account, que cria as contas de serviço, atribui os papéis às contas de serviço e cria e faz o download dos arquivos de chave para a conta de serviço em um único comando.

Para saber mais sobre o create-service-account e todas as opções disponíveis, consulte create-service-account
Para saber mais sobre os conceitos relacionados do Google Cloud, consulte Como criar e gerenciar contas de serviço e Como criar e gerenciar chaves da conta de serviço.

Verifique se você está no diretório base_directory/hybrid-files configurado em Configurar a estrutura de diretórios do projeto.
Verifique se a variável de ambiente PROJECT_ID está definida como o ID do projeto do Google Cloud. A ferramenta create-service-account lê a variável de ambiente PROJECT_ID para criar as contas de serviço no projeto correto.
```
echo $PROJECT_ID
```
Execute o seguinte comando a partir do diretório hybrid-files. Esse comando cria uma única conta de serviço chamada apigee-non-prod para uso em ambientes de não produção e coloca o arquivo de chave salvo no diretório ./service-accounts.
```
./tools/create-service-account --env non-prod --dir ./service-accounts
```
Observação: se você preferir criar todas as contas de serviço individuais para um ambiente de produção, use o seguinte comando:
```
./tools/create-service-account --env prod --dir ./service-accounts
```
Se o seguinte prompt aparecer, digite y:
```
[INFO]: gcloud configured project ID is project_id.
 Enter: y to proceed with creating service account in project: project_id
 Enter: n to abort.
```
Se esta for a primeira vez que você está criando uma SA com um nome específico atribuído, a ferramenta a criará sem solicitações adicionais.

Se, no entanto, você vir a mensagem e o prompt a seguir, digite y para gerar novas chaves:
```
[INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
...
 [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
 Press: y to generate new keys.(this does not deactivate existing keys)
 Press: n to skip generating new keys.
```
Observação: a API Cloud Pub/Sub precisa estar ativada no projeto do Google Cloud que é proprietário da conta de serviço do Synchronizer. Consulte Ativar APIs.
Verifique se a chave da conta de serviço foi criada usando o seguinte comando. Você é responsável por armazenar essas chaves privadas com segurança. Os nomes dos arquivos da chave são prefixados com o nome do seu projeto do Google Cloud.
```
ls ./service-accounts
```
O resultado será similar a este:
```
project_id-apigee-non-prod.json
```

Agora você criou contas de serviço e atribuiu os papéis necessários aos componentes da Apigee híbrida. Em seguida, os certificados TLS exigidos pelo gateway de entrada híbrido.

1 2 3 4 5 (PRÓXIMA) Etapa 6: criar certificados TLS 7 8 9