Etapa 4: criar contas de serviço

Nesta etapa, explicamos como criar as contas de serviço do Google Cloud necessárias para o funcionamento da Apigee híbrida.

Criar contas de serviço

A Apigee híbrida usa contas de serviço do Google Cloud para permitir que os componentes híbridos se comuniquem fazendo chamadas de API autorizadas.

Nesta etapa, você usa uma ferramenta de linha de comando da Apigee híbrida para criar um conjunto de contas de serviço e fazer o download dos arquivos de chaves privadas das contas de serviço.

Observação: em um ambiente híbrido de produção, a Apigee recomenda usar uma conta de serviço separada para cada componente. Para os fins deste tutorial, é possível criar uma única conta de serviço chamada "apigee-non-prod" que pode ser usada para todos os componentes.

Para saber mais sobre contas de serviço e ler a lista completa de contas de serviço recomendadas para ambientes de produção, consulte:

A Apigee fornece uma ferramenta, create-service-account, que cria as contas de serviço, atribui os papéis às contas de serviço e cria e faz o download dos arquivos de chave para a conta de serviço em um único comando.

  1. Verifique se as variáveis de ambiente HYBRID_FILES e HYBRID_FILES estão definidas.

    PROJECT_ID precisa ser definido como o ID do projeto do Google Cloud, porque a ferramenta create-service-account lê a variável de ambiente PROJECT_ID para criar as contas de serviço na projeto correto.

    echo $HYBRID_FILES
    echo $PROJECT_ID
  2. Crie uma conta de serviço de non-prod com o comando a seguir. Esse comando cria uma única conta de serviço chamada apigee-non-prod para uso em ambientes de não produção e coloca o arquivo de chave salvo no diretório $HYBRID_FILES/service-accounts.
    $HYBRID_FILES/tools/create-service-account --env non-prod --dir $HYBRID_FILES/service-accounts

    Se o seguinte prompt aparecer, digite y:

    [INFO]: gcloud configured project ID is project_id.
     Enter: y to proceed with creating service account in project: project_id
     Enter: n to abort.
    

    Se esta for a primeira vez que você está criando uma SA com um nome específico atribuído, a ferramenta a criará sem solicitações adicionais.

    Se, no entanto, você vir a mensagem e o prompt a seguir, digite y para gerar novas chaves:

    [INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
    ...
     [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
     Press: y to generate new keys.(this does not deactivate existing keys)
     Press: n to skip generating new keys.
    
  3. Verifique se a chave da conta de serviço foi criada usando o seguinte comando. Você é responsável por armazenar essas chaves privadas com segurança. Os nomes dos arquivos da chave são prefixados com o nome do seu projeto do Google Cloud.
    ls $HYBRID_FILES/service-accounts

    O resultado será similar a este:

    project_id-apigee-non-prod.json

Agora você criou contas de serviço e atribuiu os papéis necessários aos componentes da Apigee híbrida. Em seguida, crie os certificados TLS exigidos pelo gateway de entrada híbrido.

1 2 3 4 (PRÓXIMA) Etapa 5: criar certificados TLS 6 7 8 9 10