使用服务账号凭据

您可以使用 Google 服务账号向 Knative serving 服务授予访问 Google Cloud 服务(例如 Cloud Monitoring)所需的权限。每个服务账号都可让您定义一组特定的 Identity and Access Management (IAM) 权限,您可以通过 Kubernetes Secret 将这些权限与每项服务相关联。

如需创建服务账号,您可以使用以下步骤(为了方便起见,在此提供这些步骤)。如需了解创建和管理服务账号的完整详情,请参阅 Identity and Access Management 文档

控制台

如需使用 Google Cloud 控制台创建服务账号,然后下载 JSON 密钥文件,请执行以下操作:

  1. 转到 Google Cloud 控制台中的服务账号页面。

    转到“服务账号”

  2. 点击 创建服务账号

  3. 服务账号详细信息下,在服务账号名称中指定您选择的名称。

  4. (可选)修改服务账号 ID 并添加说明。

  5. 点击创建并继续

  6. 向此服务账号授予对项目的访问权限下的选择角色下拉列表中,选择一个或多个角色以将其权限授予服务账号。例如,Monitoring Metric Writer 角色

  7. 点击继续,以

  8. (可选)您可以指定要与服务账号关联的用户或群组。

  9. 点击完成以创建服务账号。

  10. 在服务账号列表中,点击您创建的服务账号旁边的 操作 > 管理密钥

  11. 点击添加密钥 > 创建新密钥

  12. 密钥类型下,选择 JSON

  13. 点击创建

gcloud

请参阅以下页面,了解如何使用 gcloud CLI 执行以下操作:

  1. 创建服务账号
  2. 分配角色和权限
  3. 创建账号密钥

创建密钥并下载包含服务账号凭据的 JSON 文件后,您可以使用该密钥来创建随后可与 Knative serving 服务关联的 Secret。

请参阅使用 Secret,了解如何创建 Secret 并将其与服务关联。

后续步骤

了解如何管理访问权限(对服务的访问权限)。