ステップ 4: サービス アカウントを作成する

このステップでは、Apigee ハイブリッドの動作に必要な Google Cloud サービス アカウントを作成する方法について説明します。

サービス アカウントを作成する

Apigee ハイブリッドでは Google Cloud サービス アカウントを使用して、認可された API 呼び出しによるハイブリッド コンポーネント間の通信が許可されます。

このステップでは、Apigee ハイブリッド コマンドライン ツールを使用して、一連のサービス アカウントを作成し、サービス アカウントの秘密鍵ファイルをダウンロードします。

ハイブリッドの本番環境では、コンポーネントごとに個別のサービス アカウントを使用することをおすすめします。このチュートリアルでは、すべてのコンポーネントに使用できる「apigee-non-prod」という名前の単一のサービス アカウントを作成できます。

サービス アカウントの詳細と、本番環境に推奨されるサービス アカウントの一覧については、以下をご覧ください。

• サービス アカウントについて
• ハイブリッド コンポーネントで使用されるサービス アカウントとロール

Apigee が提供するツールである create-service-account を使用すると、1 つのコマンドでサービス アカウントを作成し、サービス アカウントにロールを割り当て、サービス アカウントのキーファイルを作成してダウンロードできます。

• create-service-account とそのすべてのオプションの詳細については、create-service-account をご覧ください。
• 関連する Google Cloud のコンセプトの詳細については、サービス アカウントの作成と管理とサービス アカウント キーの作成と管理をご覧ください。

1. 環境変数 HYBRID_FILES と PROJECT_ID が設定されていることを確認します。

   PROJECT_ID は Google Cloud プロジェクト ID に設定する必要があります。これは、create-service-account ツールが PROJECT_ID 環境変数を読み取り、サービス アカウントを正しいプロジェクトで作成するためです。

   echo $HYBRID_FILES
   echo $PROJECT_ID

2. 次のコマンドを使用して、非本番環境のサービス アカウントを作成します。このコマンドにより、非本番環境で使用する apigee-non-prod という名前の単一のサービス アカウントが作成され、ダウンロードしたキーファイルが $HYBRID_FILES/service-accounts ディレクトリに配置されます。

   $HYBRID_FILES/tools/create-service-account --env non-prod --dir $HYBRID_FILES/service-accounts

   次のプロンプトが表示されたら、「y」と入力します。

   [INFO]: gcloud configured project ID is project_id.
    Enter: y to proceed with creating service account in project: project_id
    Enter: n to abort.
   

   特定の名前が割り当てられた SA を初めて作成する場合は、ツールのプロンプトは表示されずに SA が作成されます。

   ただし、次のメッセージとプロンプトが表示されたら、「y」を入力して新しい鍵を生成してください。

   [INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
   ...
    [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
    Press: y to generate new keys.(this does not deactivate existing keys)
    Press: n to skip generating new keys.
   

3. 次のコマンドを使用して、サービス アカウント キーが作成されたことを確認します。これらの秘密鍵は安全に保存する必要があります。鍵ファイルの名前の先頭に、Google Cloud プロジェクトの名前が付加されます。

   ls $HYBRID_FILES/service-accounts

   結果は次のようになります。

   project_id-apigee-non-prod.json

これで、サービス アカウントが作成され、Apigee ハイブリッド コンポーネントに必要なロールが割り当てられました。次は、ハイブリッド Ingress ゲートウェイに必要な TLS 証明書を作成します。

1 2 3 4 （次）ステップ 5: TLS 証明書を作成する 6 7 8 9 10