Tentang akun layanan

Akun layanan adalah jenis akun khusus di Google Cloud yang memungkinkan komponen dan aplikasi suatu sistem berinteraksi satu sama lain dan dengan API lainnya. Untuk mengetahui informasi selengkapnya tentang Google Cloud, lihat Tentang layanan Google Cloud.

Hybrid menggunakan akun layanan Google Cloud untuk melakukan berbagai tugas, termasuk:

  • Mengirim data log dan metrik
  • Menarik permintaan rekaman aktivitas
  • Menghubungkan ke gateway API untuk permintaan API administratif
  • Menjalankan pencadangan
  • Mendownload paket proxy

Meskipun satu akun layanan dapat melakukan semua operasi ini, Apigee merekomendasikan agar Anda membuat beberapa akun layanan, yang masing-masing ditetapkan ke tugas tertentu dan masing-masing memiliki serangkaian izinnya sendiri. Hal ini meningkatkan keamanan dengan mengelompokkan akses dan membatasi cakupan serta hak istimewa akses setiap akun layanan. Seperti halnya akun pengguna, izin ini diterapkan dengan menetapkan satu atau beberapa peran ke akun layanan.

Agar dapat beroperasi dengan benar, Apigee Hybrid mengharuskan Anda membuat beberapa akun layanan. Setiap akun layanan memerlukan satu atau beberapa peran tertentu yang memungkinkannya menjalankan fungsinya.

Tabel berikut menjelaskan akun layanan untuk komponen hybrid:

Komponen* Peran Diperlukan untuk penginstalan dasar? Deskripsi
apigee-cassandra Storage Object Admin Mengizinkan pencadangan Cassandra ke Cloud Storage, seperti yang dijelaskan dalam Pencadangan dan pemulihan.
apigee-logger Penulis Log Mengizinkan pengumpulan data logging, seperti yang dijelaskan dalam Logging. Hanya diperlukan untuk penginstalan cluster non-GKE.
apigee-mart Apigee Connect Agent Mengizinkan autentikasi layanan MART. Peran Apigee Connect Agent memungkinkannya berkomunikasi dengan aman dengan proses Apigee Connect, seperti yang dijelaskan dalam Menggunakan Apigee Connect.
apigee-metrics Penulis Metrik Pemantauan Mengizinkan pengumpulan data metrik, seperti yang dijelaskan dalam Ringkasan pengumpulan metrik.
apigee-org-admin Apigee Organization Admin Memungkinkan Anda memanggil getSyncAuthorization API dan setSyncAuthorization API. Anda tidak dapat membuat akun layanan ini dengan alat create-service-account.
apigee-synchronizer Apigee Synchronizer Manager Memungkinkan sinkronisasi mendownload paket proxy dan data konfigurasi lingkungan. Juga memungkinkan pengoperasian fitur rekaman aktivitas.
apigee-udca Apigee Analytics Agent Memungkinkan transfer data status deployment, analisis, dan rekaman aktivitas ke bidang pengelolaan.
apigee-watcher Apigee Runtime Agent Apigee Watcher menarik perubahan terkait host virtual untuk organisasi dari sinkronisasi dan membuat perubahan yang diperlukan untuk mengonfigurasi ingress istio.
* Nama ini digunakan dalam nama file kunci akun layanan yang didownload.

Selain membuat akun layanan yang tercantum dalam tabel ini, Anda juga mendownload kunci pribadinya. Anda akan menggunakan kunci ini nanti untuk membuat token akses sehingga Anda dapat mengakses Apigee API.

Buat akun layanan

Ada beberapa cara untuk membuat akun layanan, termasuk:

Setiap opsi ini dijelaskan di bagian berikut.

Menggunakan alat pembuatan akun layanan

Alat create-service-account (tersedia setelah Anda mendownload dan mengekstrak apigeectl) membuat akun layanan khusus komponen hybrid dan menetapkan peran yang diperlukan untuk Anda. Alat ini juga otomatis mendownload kunci akun layanan dan menyimpannya di komputer lokal Anda di direktori yang ditentukan.

Untuk membuat akun layanan dengan alat create-service-account:

  1. Download dan perluas apigeectl (jika Anda belum melakukannya), seperti yang dijelaskan dalam mendownload dan menginstal apigeectl.
  2. Buat direktori untuk menyimpan kunci akun layanan Anda. Contoh: 
    mkdir ./service-accounts
  3. Jalankan perintah berikut: 
    ./tools/create-service-account apigee-metrics ./service-accounts
./tools/create-service-account apigee-synchronizer ./service-accounts
./tools/create-service-account apigee-udca ./service-accounts
./tools/create-service-account apigee-mart ./service-accounts
./tools/create-service-account apigee-cassandra ./service-accounts
./tools/create-service-account apigee-logger ./service-accounts

    Perintah ini membuat sebagian besar akun yang diperlukan dan menyimpan kuncinya di direktori ./service-accounts. Perintah ini tidak membuat akun layanan apigee-org-admin.

    Jika perintah ini gagal, pastikan Anda mereferensikan direktori yang ada untuk menyimpan file kunci.

    Untuk mengetahui informasi selengkapnya tentang penggunaan create-service-account, lihat referensi create-service-account.

  4. Buat akun layanan apigee-org-admin. Untuk melakukannya, gunakan Konsol Google Cloud.

Menggunakan konsol Google Cloud

Anda dapat membuat akun layanan dengan Konsol Google Cloud.

Untuk membuat akun layanan dengan konsol Google Cloud:

  1. Buka konsol Google Cloud dan login dengan akun pengguna yang Anda buat di Langkah 1: Buat akun Google Cloud.
  2. Pilih project yang Anda buat di Langkah 2: Buat project Google Cloud.
  3. Pilih IAM & admin > Service accounts.

    Konsol akan menampilkan tampilan Service accounts. Tampilan ini menampilkan daftar akun layanan project. (Dalam sebagian besar kasus, belum ada akun yang tercantum, meskipun mungkin ada akun layanan default dalam daftar, bergantung pada cara Anda membuat project.)

  4. Untuk membuat akun layanan baru, klik +Buat Akun Layanan di bagian atas tampilan.

    Tampilan Service account details akan ditampilkan.

  5. Di kolom Service account name, masukkan nama akun layanan.

    Apigee merekomendasikan agar Anda menggunakan nama yang mencerminkan peran akun layanan; Anda dapat menetapkan nama akun layanan agar sama dengan nama komponen yang menggunakannya. Misalnya, tetapkan nama akun layanan Logs Writer apigee-logger.

    Untuk mengetahui informasi selengkapnya tentang nama dan peran akun layanan, lihat Akun layanan dan peran yang digunakan oleh komponen hybrid.

    Saat Anda memasukkan nama, Google Cloud akan membuat ID akun layanan unik untuk Anda, yang terstruktur seperti alamat email, seperti yang ditunjukkan contoh berikut:

    Contoh ID apigee-logger@hybrid-42.iam.gserviceaccount.com

    Anda dapat menambahkan deskripsi di kolom Deskripsi akun layanan secara opsional. Deskripsi berguna untuk mengingatkan Anda tentang tujuan penggunaan akun layanan tertentu.

  6. Klik Buat.

    Google Cloud akan membuat akun layanan baru dan menampilkan tampilan Izin akun layanan, seperti yang ditunjukkan contoh berikut:

    Membuat akun layanan tanpa izin yang dipilih

    Gunakan tampilan ini untuk menetapkan peran ke akun layanan baru Anda.

  7. Klik menu drop-down Select a role.
  8. Pilih peran untuk akun layanan, seperti yang dijelaskan dalam Akun layanan dan peran yang digunakan oleh komponen hybrid. Jika peran Apigee tidak muncul di menu drop-down, muat ulang halaman.

    Misalnya, untuk komponen logging, pilih peran Logs Writer.

    Jika perlu, masukkan teks untuk memfilter daftar peran menurut nama. Misalnya, untuk hanya mencantumkan peran Apigee, masukkan “Apigee” di kolom filter, seperti yang ditunjukkan contoh berikut:

    Daftar izin akun layanan yang cocok dengan Apigee

    Anda dapat menambahkan lebih dari satu peran ke akun layanan, tetapi Apigee merekomendasikan agar Anda hanya menggunakan satu peran untuk setiap akun layanan yang direkomendasikan. Untuk mengubah peran akun layanan setelah Anda membuatnya, gunakan panel IAM & admin di Google Cloud.

  9. Klik Lanjutkan.

    Google Cloud akan menampilkan tampilan Beri pengguna akses ke akun layanan ini:

    Kolom untuk peran Pengguna akun layanan dan Admin akun layanan, tombol untuk Buat kunci

  10. Di bagian Buat kunci (opsional), klik Buat Kunci.

    Google Cloud memberi Anda opsi untuk mendownload kunci JSON atau P12:

    Pilih jenis kunci JSON atau P12

  11. Pilih JSON (default) lalu klik Create.

    Google Cloud menyimpan file kunci dalam format JSON ke mesin lokal Anda dan menampilkan konfirmasi jika berhasil, seperti yang ditunjukkan contoh berikut:

    Contoh filename.json

    Anda akan menggunakan beberapa kunci akun layanan nanti untuk mengonfigurasi layanan runtime hybrid. Misalnya, saat mengonfigurasi runtime hybrid, Anda akan menentukan lokasi kunci akun layanan menggunakan properti service_name.serviceAccountPath.

    Kunci ini digunakan oleh akun layanan untuk mendapatkan token akses, yang kemudian digunakan oleh akun layanan untuk membuat permintaan terhadap Apigee API atas nama Anda. (Namun, hal itu belum akan terjadi dalam waktu dekat; untuk saat ini, cukup ingat di mana Anda menyimpannya.)

  12. Ulangi langkah 4 hingga 11 untuk setiap akun layanan yang tercantum di Akun layanan dan peran yang digunakan oleh komponen hybrid (kecuali akun apigee-mart—yang tidak memiliki peran terkait—jadi jangan tetapkan peran ke akun tersebut).

    Setelah selesai, Anda akan memiliki akun layanan berikut (selain akun default, jika ada):

    Daftar akun layanan. Kotak pilihan kolom 1, Email kolom 2, Status kolom 3, nama akun layanan kolom 4

    Di konsol Google Cloud, akun layanan ditandai dengan ikon tombol sisi kiri, setengah persegi panjang sisi kanan, semuanya digarisbawahi.

Setelah membuat akun layanan, jika Anda ingin menambahkan atau menghapus peran ke akun layanan tersebut, Anda harus menggunakan tampilan IAM & Admin. Anda tidak dapat mengelola peran untuk akun layanan di tampilan Akun layanan.

Menggunakan API pembuatan akun layanan gcloud

Anda dapat membuat dan mengelola akun layanan dengan Cloud Identity and Access Management API.

Untuk mengetahui informasi selengkapnya, lihat Membuat dan mengelola akun layanan.

Pemecahan masalah