Halaman ini diterjemahkan oleh Cloud Translation API.

Validasi akun layanan

Apigee Hybrid menyediakan validasi yang memastikan lokasi kunci akun layanan Anda sudah benar dan akun tersebut memiliki izin yang tepat di project Google Cloud Anda. Validasi ini diaktifkan secara default.

Bagian ini menjelaskan cara mengaktifkan atau menonaktifkan validasi akun layanan. Selain itu, langkah ini memastikan Anda telah mengaktifkan API yang tepat untuk project Google Cloud Anda sehingga validasi berfungsi.

Mengaktifkan validasi izin akun layanan

Untuk mengaktifkan validasi izin:

Pastikan Cloud Resource Manager API diaktifkan untuk project Google Cloud Anda:
1. Buka konsol Google Cloud dan login dengan akun yang Anda buat di Langkah 1: Buat akun Google Cloud.
2. Pilih project yang Anda buat di Langkah 2: Buat project Google Cloud.
3. Pilih APIs & Services > Library.
4. Telusuri "Cloud Resource Manager".
5. Cari layanan Cloud Resource Manager API, lalu klik layanan tersebut.
6. Jika belum diaktifkan, klik Enable.
Anda juga dapat mengaktifkan API menggunakan gcloud:
```
gcloud services enable cloudresourcemanager.googleapis.com --project GCP_project_ID
```

Dalam file penggantian, tambahkan properti validateServiceAccounts dan tetapkan ke true. Contoh:

...
# Enables strict validation of service account permissions.
validateServiceAccounts: true
...

Jika validasi diaktifkan, setiap kali apigeectl menerapkan komponen runtime Apigee Hybrid ke cluster Anda, apigeectl akan memvalidasi kunci akun layanan yang disertakan dalam file penggantian Anda.

Memecahkan masalah error validasi

Jika validasi gagal, deployment runtime akan berhenti dan apigeectl akan keluar. Untuk memecahkan masalah kegagalan akun layanan, sebaiknya ketahui bahwa pemeriksaan validasi izin dalam urutan ini:

Izin pada project ID.
(Khusus UDCA dan Synchronizer) Jika pemeriksaan izin pada project gagal, validasi akan dilanjutkan dengan memeriksa izin terhadap kebijakan IAM lingkungan Apigee. SA ini memiliki cakupan lingkungan dan lingkungan mendukung izin yang lebih terperinci.
Untuk memperbarui kebijakan IAM untuk lingkungan tertentu, buka UI hybrid. Buka Admin > Environments > Access

Misalnya, berikut adalah pesan error untuk pemeriksaan izin yang gagal:

Invalid Metrics Service Account. Service Account
"apigee-metrics@hybrid-project.iam.gserviceaccount.com" is missing 1 or more required
permissions [monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create].
Visit Service accounts and roles used by
hybrid components for more details on setting up Apigee hybrid service account permissions.

Untuk mengatasi error ini, tambahkan peran yang diperlukan ke akun layanan. Untuk mengetahui informasi tentang cara membuat dan mengubah akun layanan, lihat Membuat akun layanan. Untuk memeriksa izin yang diperlukan untuk setiap komponen hybrid Apigee, lihat Akun layanan dan peran yang digunakan oleh komponen hybrid.

Menonaktifkan validasi izin

Untuk menonaktifkan validasi izin akun layanan, tetapkan properti validationServiceAccounts dalam file penggantian Anda ke false, seperti yang ditunjukkan contoh berikut:

...
# Enables strict validation of service account permissions.
validateServiceAccounts: false
...