Validasi akun layanan

Apigee Hybrid menyediakan validasi yang memastikan lokasi kunci akun layanan Anda sudah benar dan akun tersebut memiliki izin yang sesuai di project GCP Anda. Validasi ini diaktifkan secara default.

Bagian ini menjelaskan cara mengaktifkan atau menonaktifkan validasi akun layanan. Selain itu, langkah ini memastikan Anda telah mengaktifkan API yang tepat untuk project GCP Anda agar validasi berfungsi.

Aktifkan validasi izin akun layanan

Untuk mengaktifkan validasi izin:

  1. Pastikan Cloud Resource Manager API diaktifkan untuk project GCP Anda:
    1. Buka konsol Google Cloud dan login dengan akun yang Anda buat di Langkah 1: Buat akun Google Cloud.
    2. Pilih project yang Anda buat di Langkah 2: Buat project Google Cloud.
    3. Pilih APIs & Services > Library.
    4. Telusuri "Cloud Resource Manager".
    5. Temukan layanan Cloud Resource Manager API dan klik layanan tersebut.
    6. Jika belum diaktifkan, klik Enable.

    Anda juga dapat mengaktifkan API menggunakan gcloud:

    gcloud services enable cloudresourcemanager.googleapis.com --project GCP_project_ID
  2. Di file penggantian, tambahkan properti validateServiceAccounts dan tetapkan ke true. Contoh: 
    ...
# Enables strict validation of service account permissions.
validateServiceAccounts: true
...

Saat validasi diaktifkan, setiap kali apigeectl menerapkan komponen runtime hybrid Apigee ke cluster Anda, sistem akan memvalidasi kunci akun layanan yang disertakan dalam file penggantian Anda.

Memecahkan masalah error validasi

Jika validasi gagal, deployment runtime akan berhenti dan apigeectl akan keluar. Untuk memecahkan masalah kegagalan akun layanan, sebaiknya ketahui bahwa validasi memeriksa izin dalam urutan berikut:

  1. Izin pada project ID.
  2. (Hanya untuk UDCA dan Penyinkron) Jika pemeriksaan izin pada project gagal, validasi akan melanjutkan pemeriksaan izin berdasarkan kebijakan IAM lingkungan Apigee. SA ini memiliki cakupan lingkungan dan lingkungan mendukung izin yang lebih terperinci.

    Guna memperbarui kebijakan IAM untuk lingkungan tertentu, buka UI hybrid. Buka Admin > Lingkungan > Akses

Misalnya, berikut adalah pesan error untuk pemeriksaan izin yang gagal: 

Invalid Metrics Service Account. Service Account
"apigee-metrics@hybrid-project.iam.gserviceaccount.com" is missing 1 or more required
permissions [monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create].
Visit Service accounts and roles used by
hybrid components for more details on setting up Apigee hybrid service account permissions.

Untuk mengatasi error ini, tambahkan peran yang diperlukan ke akun layanan. Untuk informasi tentang cara membuat dan mengubah akun layanan, lihat Membuat akun layanan. Untuk memeriksa izin yang diperlukan bagi setiap komponen Apigee Hybrid, lihat Akun dan peran layanan yang digunakan oleh komponen hybrid.

Menonaktifkan validasi izin

Untuk menonaktifkan validasi izin akun layanan, tetapkan properti validationServiceAccounts dalam file penggantian Anda ke false, seperti yang ditampilkan dalam contoh berikut:

...
# Enables strict validation of service account permissions.
validateServiceAccounts: false
...