您可以使用 Google 服务账号向 Knative serving 服务授予访问 Google Cloud 服务(例如 Cloud Monitoring)所需的权限。每个服务账号都可让您定义一组特定的 Identity and Access Management (IAM) 权限,您可以通过 Kubernetes Secret 将这些权限与每项服务相关联。
如需创建服务账号,您可以使用以下步骤(为了方便起见,在此提供这些步骤)。如需了解创建和管理服务账号的完整详情,请参阅 Identity and Access Management 文档。
控制台
如需使用 Google Cloud 控制台创建服务账号,然后下载 JSON 密钥文件,请执行以下操作:
转到 Google Cloud 控制台中的服务账号页面。
点击 add 创建服务账号。
在服务账号详细信息下,在服务账号名称中指定您选择的名称。
(可选)修改服务账号 ID 并添加说明。
点击创建并继续。
在向此服务账号授予对项目的访问权限下的选择角色下拉列表中,选择一个或多个角色以将其权限授予服务账号。例如,Monitoring Metric Writer 角色。
点击继续,以
(可选)您可以指定要与服务账号关联的用户或群组。
点击完成以创建服务账号。
在服务账号列表中,点击您创建的服务账号旁边的 more_vert 操作 > 管理密钥。
点击添加密钥 > 创建新密钥。
在密钥类型下,选择 JSON。
点击创建。
gcloud
请参阅以下页面,了解如何使用 gcloud CLI 执行以下操作:
创建密钥并下载包含服务账号凭据的 JSON 文件后,您可以使用该密钥来创建随后可与 Knative serving 服务关联的 Secret。
请参阅使用 Secret,了解如何创建 Secret 并将其与服务关联。
后续步骤
了解如何管理访问权限(对服务的访问权限)。