create-service-account

Crea account di servizio Google Cloud con ruoli che consentono ai singoli componenti ibridi di Apigee di effettuare chiamate API autorizzate e scaricare i file delle chiavi degli account di servizio associati. Puoi utilizzare i file della chiave dell'account di servizio generati da questo comando nel file di sostituzione della configurazione.

create-service-account crea uno o più account di servizio nel tuo progetto Google Cloud attuale o nel progetto specificato, assegna il ruolo IAM corretto all'account di servizio e scarica il file del certificato per l'account di servizio in una directory sulla tua macchina locale.

Lo strumento create-service-account si trova nella directory HYBRID_ROOT_DIR/tools.

Per ulteriori informazioni sugli account di servizio e per un elenco completo degli account di servizio consigliati per gli ambienti di produzione, consulta quanto segue:

Puoi anche creare account di servizio in Google Cloud Console. Vedi anche Creazione e gestione degli account di servizio.

Prerequisiti

Ruolo

Lo strumento create-service-account richiede l'installazione dell'interfaccia a riga di comando gcloud. Gli utenti che richiamano l'utilità devono avere il ruolo Service Account Admin.

Progetto

Gli account di servizio sono associati a un progetto Google Cloud specifico. create-service-account crea account di servizio nel progetto attuale o nel progetto specificato e associa i ruoli IAM agli account di servizio all'interno di quel progetto. create-service-account utilizza anche l'ID progetto come parte dell'email e del nome del file della chiave dell'account di servizio. Ad esempio, se il progetto è denominato my-hybrid-project, il file della chiave dell'account di servizio Apigee-logger sarà denominato my-hybrid-project-apigee-logger.json e l'indirizzo email dell'account di servizio sarà apigee-logger@my-hybrid-project.iam.gserviceaccount.com.

Puoi specificare un progetto con il flag --project-id.

Se non specifichi un ID progetto Cloud con il comando, create-service-account utilizza il progetto nella configurazione attuale del progetto gcloud.

Puoi controllare la configurazione del progetto gcloud attualmente impostata con il seguente comando: 

gcloud config list project

Se devi modificare l'ID progetto attuale, utilizza il seguente comando: 

gcloud config set project PROJECT_ID

Dove PROJECT_ID è l'ID del tuo progetto cloud attuale. Le istruzioni per la creazione di un progetto Cloud sono illustrate nel Passaggio 2: crea un progetto Google Cloud.

È in uso create-service-account

Gli esempi seguenti mostrano l'utilizzo di create-service-account per le attività di configurazione ibride comuni.

Creare account di servizio per un ambiente di produzione

In un ambiente di produzione ibrido, Apigee consiglia di utilizzare un account di servizio separato per ciascun componente. Utilizza il comando seguente per creare tutti gli account di servizio per i componenti ibridi con i relativi nomi predefiniti nella directory predefinita. 

./tools/create-service-account --env prod

Verranno creati i seguenti account di servizio con i file dei certificati scaricati nella directory ./tools/service-accounts:

Account di servizio Ruolo IAM Email File di certificazione
apigee-cassandra roles/storage.objectAdmin apigee-cassandra@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-cassandra.json
apigee-logger roles/logging.logWriter apigee-logger@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-logger.json
apigee-mart roles/apigeeconnect.Agent apigee-mart@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-mart.json
apigee-metrics roles/monitoring.metricWriter apigee-metrics@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-metrics.json
apigee-runtime Nessun ruolo assegnato apigee-runtime@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-runtime.json
apigee-synchronizer roles/apigee.synchronizerManager apigee-synchronizer@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-synchronizer.json
apigee-udca roles/apigee.analyticsAgent apigee-udca@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-udca.json
apigee-watcher roles/apigee.runtimeAgent apigee-watcher@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-watcher.json

Crea un unico account di servizio per un ambiente non di produzione

Per gli ambienti non di produzione, ad esempio un ambiente sperimentale o dimostrativo, puoi creare un singolo account di servizio denominato "quoin;non-prod". A questo account di servizio verranno assegnati tutti i ruoli IAM nell'esempio precedente. 

./tools/create-service-account --env non-prod

Verrà creato come account di servizio singolo denominato Apigee-non-prod e scaricherà il file di certificato nella directory ./tools/service-accounts:

Account di servizio Ruoli IAM Email File di certificazione
apigee-non-prod roles/apigee.analyticsAgent
roles/apigee.runtimeAgent
roles/apigee.synchronizerManager
roles/apigeeconnect.Agent
roles/logging.logWriter
roles/monitoring.metricWriter
roles/storage.objectAdmin		 apigee-non-prod@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-non-prod.json

create-service-account syntax

Lo strumento create-service-account utilizza la seguente sintassi:

create-service-account [flags]

Nella tabella seguente sono elencati i flag create-service-account:

Flag Valori Descrizione
--dir
-d		 nome directory Specifica una directory di output per i file delle chiavi dell'account di servizio. Se la directory non esiste, create-service-account la creerà. Se la directory esiste già, create-service-account sovrascriverà qualsiasi file nella directory con lo stesso nome dei file della chiave che sta creando.

Se non specifichi una directory di output, create-service-account scriverà i file dell'account di servizio nella directory service-accounts/ all'interno della directory in cui si trova create-service-account.

--env
-e		 prod
non-prod		 Specifica se stai creando account di servizio per un ambiente di produzione (prod) o non di produzione (non-prod).
  • --env prod crea account di servizio per ambienti ibridi di produzione.

    In un ambiente di produzione è consigliabile avere un solo account di servizio per ogni servizio Apigee. A ogni ruolo creato sarà associato un singolo ruolo IAM.

    create-service-account -env prod creerà tutti gli account di servizio utilizzati da Apigee ibrida, a meno che non specifichi un account di servizio specifico con --profile.

  • --env non-prod crea un singolo account di servizio con tutti i ruoli IAM associati. Questo è utile per ambienti non di produzione come un'installazione sperimentale o demo.

    L'account di servizio sarà denominato apigee-non-prod a meno che non specifichi un nome con il flag --name.

Se esegui create-service-account senza --env, ti verrà chiesto di inserire prod o non-prod.

--help
-h		 none Mostra il testo della guida.
--name
-n		 nome account di servizio Specifica un nome per l'account di servizio. --name si applica solo a un singolo account di servizio, specificato con --profile o --env non-prod.

Il nome fa anche parte del nome e dell'email del file del certificato per l'account di servizio. Ad esempio, se esegui create-service-account --profile apigee-logger --name my-logger (supponendo che per questo esempio il tuo progetto cloud corrente sia my-hybrid-project) create-service-account creerà un account con:

  • Nome: my-logger
  • Email: my-logger@my-hybrid-project.iam.gserviceaccount.com
  • File del certificato: my-hybrid-project-my-logger.json

Se non specifichi --name, create-service-account utilizza il nome del profilo per il nome dell'account di servizio o "quotidian-non-prod"; se specifichi --env non-prod.

‑‑profile
-p		 apigee‑cassandra
apigee‑logger
apigee‑mart
apigee‑metrics
apigee‑runtime
apigee‑synchronizer
apigee‑udca
apigee‑watcher		 Solo per ambienti di produzione, specifica un singolo account di servizio da creare.

Puoi specificare un nome per l'account di servizio con il flag --name.

Richiede --env prod.

‑‑project‑id
-i		 ID progetto L'ID progetto del progetto Google Cloud in cui stai creando gli account di servizio.

Se non specifichi un ID progetto, create-service-account utilizzerà l'ID del progetto della tua attuale configurazione gcloud.

Per maggiori informazioni sugli account di servizio utilizzati da Apigee ibrida, consulta la sezione Informazioni sugli account di servizio.

Puoi anche creare account di servizio in Google Cloud Console. Consulta anche l'articolo sulla creazione e gestione degli account di servizio.