本页面介绍了开始使用 Service Consumer Management API 之前需要完成的步骤。本页面假定您已拥有一个 Google Cloud 项目和一个托管服务(例如使用 Cloud Endpoints 创建的托管式服务),同时您了解租赁单位。
激活服务
虽然 Service Consumer Management API 可以帮助您管理自己的托管式服务的使用,但它本身也是一项服务。因此,在使用它之前,必须激活托管托管式服务的 Google Cloud 项目的 Service Consumer Management API。此项目称为服务提供方项目。
为您的服务提供方项目启用 Service Consumer Management API 的最简单方法是使用 Google Cloud 控制台。或者,您也可以通过命令行或以编程方式启用它。 如需了解详情,请参阅启用和停用服务。
设置权限
在为您的服务提供方项目启用 Service Consumer Management API 之后,您必须创建自己的服务身份,并授予它对资源的权限,以便它能够在您的文件夹中创建租户项目,并在租户项目上设置正确的结算账户。这些操作由 Service Consumer Management API 拥有的服务账号执行,该账号按以下格式指定:
service-PROJECT_NUMBER@service-consumer-management.iam.gserviceaccount.com
其中 PROJECT_NUMBER 是激活 Service Consumer Management 服务的服务提供方项目的项目编号。
本指南的其余部分使用 GCM_SA 来表示 Service Consumer Management API 服务账号。
您可以使用以下命令来生成服务身份。
- 使用您的用户账号登录。
gcloud auth login
- 生成服务身份。
gcloud beta services identity create --service=serviceconsumermanagement.googleapis.com --project=PROJECT_ID
设置文件夹权限
确保您有一个用于保存租户项目的文件夹:您需要具有一个组织才能在服务提供方项目中创建文件夹。如果您没有文件夹,请按照创建和管理文件夹中的说明创建一个。您的文件夹将获得一个整数形式的 FOLDER_ID。
在您的文件夹级层,向 Service Consumer Management API 服务账号分配项目创建者/删除者角色。您可以按照配置对文件夹的访问权限中的说明,以 GCM_SA 作为用户添加项目创建者和项目删除者角色。
设置结算账号权限
确保您已拥有可以共享给租户项目的结算账号。如果您没有结算账号,请参阅创建、修改或关闭结算账号中的说明,了解如何创建。
按照该说明将结算账号用户角色添加到 GCM_SA。
资源要求
- Service Consumer Management API 将代表您创建租户项目,因此请确保您拥有创建项目所需的足够配额。
- 请参阅项目限制文档,了解默认情况下可以创建的项目数量并请求增加到该限制。