create-service-account

建立具有角色的 Google Cloud Platform 服務帳戶,允許個別 Apigee Hybrid 元件進行授權 API 呼叫,並下載相關聯的服務帳戶金鑰檔案。您可以在設定覆寫檔案中使用這項指令產生的服務帳戶金鑰檔案。

create-service-account 工具位於 HYBRID_ROOT_DIR/tools 目錄中。

必要條件

create-service-account 工具需要安裝 gcloud CLI。叫用公用程式的使用者應具備 Service Account Admin 角色。

首先,請確認 gcloud 專案設定已設為您在「步驟 2:建立 Google Cloud 專案」中建立的專案:

gcloud config list project

如要變更目前的專案 ID,請使用下列指令: 

gcloud config set project GC_PROJECT_ID

其中 GC_PROJECT_ID 是在「步驟 2:建立 Google Cloud 專案」中建立的專案。

create-service-account 語法

create-service-account 工具使用以下語法:

create-service-account HYBRID_SERVICE OUTPUT_DIR [GC_PROJECT_ID]

其中:

  • HYBRID_SERVICE:指定使用服務帳戶的混合式服務。有效值如下:
    • apigee-cassandra
    • apigee-distributed-trace
    • apigee-logger
    • apigee-mart
    • apigee-metrics
    • apigee-synchronizer
    • apigee-udca
    • apigee-watcher

    請注意,create-service-account 工具無法建立 apigee-org-admin 服務帳戶。您必須使用 gcloud API 建立該帳戶,如「建立服務帳戶」一文所述。

  • OUTPUT_DIR:儲存下載服務帳戶金鑰的輸出目錄。
  • GCP_PROJECT_ID:(選用) 指定與啟用混合式功能的機構綁定的專案的 Google Cloud 專案 ID。如果未提供 Google Cloud 專案 ID,工具會嘗試從目前的 gcloud 設定中擷取 ID。

詳細說明

create-service-account 工具:

  • 建立混合式元件使用的 Google Cloud 服務帳戶。建立的服務帳戶會獲得特定元件運作所需的角色。
  • 將服務帳戶金鑰下載到您的系統。如混合式安裝說明所述,將服務帳戶金鑰放在混合式設定覆寫檔案中。

這項工具會為下列元件建立服務帳戶:

元件* 角色 基本安裝是否需要? 說明
apigee-cassandra Storage 物件管理員
roles/storage.objectAdmin		 允許將 Cassandra 備份到 Cloud Storage,如「備份與復原」一文所述。
apigee-distributed-trace Cloud Trace 代理程式
roles/cloudtrace.agent		 允許混合式執行階段平面以與 Google Cloud TraceJaeger 等系統相容的格式,參與分散式要求追蹤。
apigee-logger 記錄寫入者
roles/logging.logWriter		 允許收集記錄資料,如「記錄」所述。僅適用於非 GKE 叢集安裝作業。
apigee-mart Apigee Connect 代理程式
roles/apigeeconnect.Agent		 允許 MART 服務驗證。Apigee Connect Agent 角色可讓代理程式與 Apigee Connect 程序安全通訊,詳情請參閱「使用 Apigee Connect」。
apigee-metrics Monitoring 指標寫入者
roles/monitoring.metricWriter		 允許收集指標資料,如「指標收集總覽」所述。
apigee-synchronizer Apigee 同步處理工具管理員
roles/apigee.synchronizerManager		 允許同步器下載 Proxy 組合包和環境設定資料。並啟用追蹤功能。
apigee-udca Apigee 數據分析代理人
roles/apigee.analyticsAgent		 允許將追蹤記錄、分析和部署狀態資料傳輸至管理層。
apigee-watcher Apigee 執行階段代理程式
roles/apigee.runtimeAgent		 Apigee Watcher 會從同步器提取機構的虛擬主機相關變更,並進行必要變更來設定 Istio Ingress。
* 這個名稱會用於下載的服務帳戶金鑰檔案名稱。

您也可以在 Google Cloud 控制台中建立服務帳戶。另請參閱「建立及管理服務帳戶」。

範例

下列範例會為 apigee-logger 服務建立新的服務帳戶,並將下載的金鑰放在 ./service-accounts 目錄中。

./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts