Questa pagina è stata tradotta dall'API Cloud Translation.

Passaggio 7: abilita l'accesso del sincronizzatore

Recuperare un token di autorizzazione

Per effettuare le chiamate API Apigee descritte più avanti in questo argomento, devi ottenere un token di autorizzazione con il ruolo Amministratore organizzazione Apigee.

Se non sei il proprietario del progetto Google Cloud associato alla tua organizzazione ibrida Apigee, assicurati che il tuo account utente Google Cloud abbia il ruolo roles/apigee.admin (Amministratore dell'organizzazione Apigee). Puoi controllare i ruoli che ti sono stati assegnati con questo comando:

gcloud projects get-iam-policy ${PROJECT_ID}  \
--flatten="bindings[].members" \
--format='table(bindings.role)' \
--filter="bindings.members:your_account_email"

Ad esempio:

gcloud projects get-iam-policy my-project  \
--flatten="bindings[].members" \
--format='table(bindings.role)' \
--filter="bindings.members:myusername@example.com"

L'output dovrebbe essere simile al seguente:

ROLE
roles/apigee.admin
roles/compute.admin
roles/container.admin
roles/gkehub.admin
roles/iam.serviceAccountAdmin
roles/iam.serviceAccountKeyAdmin
roles/meshconfig.admin
roles/owner
roles/resourcemanager.projectIamAdmin
roles/servicemanagement.admin
roles/serviceusage.serviceUsageAdmin

Se non hai roles/apigee.admin tra i tuoi ruoli, aggiungi il ruolo Amministratore dell'organizzazione Apigee al tuo account utente. Utilizza il seguente comando per aggiungere al tuo account utente:

gcloud projects add-iam-policy-binding ${PROJECT_ID} \
  --member user:your_account_email \
  --role roles/apigee.admin

Ad esempio:

gcloud projects add-iam-policy-binding my-project \
  --member user:myusername@example.com \
  --role roles/apigee.admin

Nella riga di comando, ottieni la tua autenticazione gcloud le credenziali utilizzando il comando seguente:
Linux/MacOS
```
export TOKEN=$(gcloud auth print-access-token)
```
Per verificare che il token sia stato compilato, usa echo come nell'esempio seguente:
```
echo $TOKEN
```
Il token dovrebbe essere visualizzato come stringa codificata.
Windows
```
for /f "tokens=*" %a in ('gcloud auth print-access-token') do set TOKEN=%a
```
Per verificare che il token sia stato compilato, usa echo come nell'esempio seguente:
```
echo %TOKEN%
```
Il token dovrebbe essere visualizzato come stringa codificata.

Attivare l'accesso al sincronizzatore

Per abilitare l'accesso al sincronizzatore:

Ottieni l'indirizzo email per l'account di servizio a cui stai concedendo l'accesso per la sincronizzazione. Per gli ambienti non di produzione (come suggerito in questo tutorial), deve essere apigee-non-prod. Per gli ambienti di produzione, dovrebbe essere apigee-synchronizer. Utilizza questo comando:
Non prod
```
gcloud iam service-accounts list --filter "apigee-non-prod"
```
Se corrisponde allo schema apigee-non-prod@${ORG_NAME}.iam.gserviceaccount.com, puoi utilizzarlo nel passaggio successivo.
Produzione
```
gcloud iam service-accounts list --filter "apigee-synchronizer"
```
Se corrisponde allo schema apigee-synchronizer@${ORG_NAME}.iam.gserviceaccount.com, puoi utilizzarlo nel passaggio successivo.

Chiama il setSyncAuthorization API per abilitare le autorizzazioni richieste per synchronousr utilizzando il seguente comando:

Non prod

curl -X POST -H "Authorization: Bearer ${TOKEN}" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:setSyncAuthorization" \
   -d '{"identities":["'"serviceAccount:apigee-non-prod@${ORG_NAME}.iam.gserviceaccount.com"'"]}'

Produzione

curl -X POST -H "Authorization: Bearer ${TOKEN}" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:setSyncAuthorization" \
   -d '{"identities":["'"serviceAccount:apigee-synchronizer@${ORG_NAME}.iam.gserviceaccount.com"'"]}'

Dove:

${ORG_NAME}: il nome della tua organizzazione ibrida.
apigee-non-prod${ORG_NAME}.iam.gserviceaccount.com o
apigee-synchronizer${ORG_NAME}.iam.gserviceaccount.com: l'indirizzo email dell'account di servizio.

Suggerimento: alcune shell potrebbero restituire un errore come bad substitution. In questo caso, sostituisci $ORG_NAME con il nome la tua organizzazione e sostituisci "'" con " nel seguente modo:

Non prod

curl -X POST -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/YOUR_ORG_NAME:setSyncAuthorization" \
   -d '{"identities":["serviceAccount:apigee-non-prod@YOUR_ORG_NAME.iam.gserviceaccount.com"]}'

Produzione

curl -X POST -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/YOUR_ORG_NAME:setSyncAuthorization" \
   -d '{"identities":["serviceAccount:apigee-synchronizer@YOUR_ORG_NAME.iam.gserviceaccount.com"]}'

Per verificare che l'account di servizio sia stato impostato, utilizza il seguente comando per chiamare l'API e ottenere un elenco di account di servizio:
```
curl -X GET -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type:application/json" \
  "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:getSyncAuthorization"
```
L'output è simile al seguente:
Non prod
```
{
   "identities":[
      "serviceAccount:apigee-non-prod@my_project_id.iam.gserviceaccount.com"
   ],
   "etag":"BwWJgyS8I4w="
}
```
Produzione
```
{
   "identities":[
      "serviceAccount:apigee-synchronizer@my_project_id.iam.gserviceaccount.com"
   ],
   "etag":"BwWJgyS8I4w="
}
```
Nota: la chiamata all'API Apigee utilizza ${ORG_NAME}, e i risultati delle mappature degli account di servizio IAM usano my_project_id. Nella maggior parte dei casi, i valori sono gli stessi. Un'eccezione insolita è l'utilizzo di un cluster multi-organizzazione, in cui è presente più di un nome di organizzazione e gli account di servizio possono essere diversi per ogni organizzazione.

Ora hai consentito la comunicazione tra i piani di gestione e di runtime di Apigee hybrid. Ora applichiamo la configurazione al runtime ibrido e l'installazione di Apigee hybrid.

1 2 3 4 5 6 7 (SUCCESSIVO) Passaggio 8: installa il runtime ibrido 9 10

Passaggio 7: abilita l'accesso del sincronizzatore

Recuperare un token di autorizzazione

Linux/MacOS

Windows

Attivare l'accesso al sincronizzatore

Non prod

Produzione

Non prod

Produzione

Non prod

Produzione