create-service-account

Membuat akun layanan Google Cloud dengan peran yang memungkinkan setiap komponen hybrid Apigee melakukan panggilan API yang diotorisasi dan mendownload file kunci akun layanan terkait. Anda dapat menggunakan file kunci akun layanan yang dihasilkan oleh perintah ini dalam file penggantian konfigurasi Anda.

create-service-account membuat satu atau beberapa akun layanan di project Google Cloud saat ini atau project yang Anda tentukan, menetapkan peran IAM yang benar ke akun layanan, dan mendownload file sertifikat untuk akun layanan ke direktori di mesin lokal Anda.

Alat create-service-account terletak di direktori HYBRID_ROOT_DIR/tools.

Untuk mempelajari lebih lanjut akun layanan dan membaca daftar lengkap akun layanan yang direkomendasikan untuk lingkungan produksi, lihat artikel berikut:

Anda juga dapat membuat akun layanan di konsol Google Cloud. Lihat juga Membuat dan mengelola akun layanan.

Prasyarat

Peran

Alat create-service-account mengharuskan CLI gcloud diinstal. Pengguna yang memanggil utilitas harus memiliki peran Service Account Admin.

Project

Akun layanan terikat ke project Google Cloud tertentu. create-service-account membuat akun layanan di project saat ini atau di project yang Anda tentukan, dan mengikat peran IAM ke akun layanan dalam project tersebut. create-service-account juga menggunakan Project ID sebagai bagian dari nama file dan email kunci akun layanan. Misalnya, jika project Anda bernama my-hybrid-project, file kunci akun layanan apigee-logger akan bernama my-hybrid-project-apigee-logger.json dan alamat email akun layanan akan menjadi apigee-logger@my-hybrid-project.iam.gserviceaccount.com.

Anda dapat menentukan project dengan menentukan variabel lingkungan PROJECT_ID atau dengan flag --project-id. create-service-account membaca nilai variabel lingkungan PROJECT_ID. Jika tidak ada, Anda dapat menggunakan flag --project-id.

Jika Anda tidak menentukan project ID Cloud dengan perintah, create-service-account akan menggunakan project dalam konfigurasi project gcloud Anda saat ini.

Anda dapat memeriksa konfigurasi project gcloud yang ditetapkan saat ini dengan perintah berikut: 

gcloud config list project

Jika Anda perlu mengubah project ID saat ini, gunakan perintah berikut: 

gcloud config set project PROJECT_ID

Dengan PROJECT_ID sebagai ID project Cloud Anda saat ini. Petunjuk untuk membuat Project Cloud dibahas di Langkah 2: Buat project Google Cloud.

Menggunakan create-service-account

Contoh berikut menunjukkan penggunaan create-service-account untuk tugas penyiapan umum hybrid Apigee.

Membuat akun layanan untuk lingkungan produksi

Di lingkungan hybrid produksi, Apigee merekomendasikan penggunaan akun layanan terpisah untuk setiap komponen. Gunakan perintah berikut untuk membuat semua akun layanan untuk komponen hybrid dengan nama defaultnya di direktori default. 

./tools/create-service-account --env prod

Tindakan ini akan membuat akun layanan berikut dengan file sertifikat yang didownload di direktori ./tools/service-accounts:

Akun layanan Peran IAM Email File sertifikat
apigee-cassandra roles/storage.objectAdmin apigee-cassandra@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-cassandra.json
apigee-logger roles/logging.logWriter apigee-logger@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-logger.json
apigee-mart roles/apigeeconnect.Agent apigee-mart@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-mart.json
apigee-metrics roles/monitoring.metricWriter apigee-metrics@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-metrics.json
apigee-runtime Tidak ada peran yang ditetapkan apigee-runtime@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-runtime.json
apigee-synchronizer roles/apigee.synchronizerManager apigee-synchronizer@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-synchronizer.json
apigee-udca roles/apigee.analyticsAgent apigee-udca@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-udca.json
apigee-watcher roles/apigee.runtimeAgent apigee-watcher@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-watcher.json

Membuat satu akun layanan untuk lingkungan non-produksi

Untuk lingkungan non-produksi, seperti lingkungan eksperimental atau demo, Anda dapat membuat satu akun layanan bernama "apigee-non-prod" yang dapat digunakan untuk semua komponen. Akun layanan ini akan memiliki semua peran IAM dalam contoh sebelumnya yang ditetapkan kepadanya. 

./tools/create-service-account --env non-prod

Perintah ini akan membuat satu akun layanan bernama apigee-non-prod dan mendownload file sertifikat di direktori ./tools/service-accounts:

Akun layanan Peran IAM Email File sertifikat
apigee-non-prod roles/apigee.analyticsAgent
roles/apigee.runtimeAgent
roles/apigee.synchronizerManager
roles/apigeeconnect.Agent
roles/logging.logWriter
roles/monitoring.metricWriter
roles/storage.objectAdmin		 apigee-non-prod@PROJECT_ID.iam.gserviceaccount.com PROJECT_ID-apigee-non-prod.json

create-service-account syntax

Alat create-service-account menggunakan sintaksis berikut:

create-service-account [flags]

Tabel berikut mencantumkan flag create-service-account:

Tanda Nilai Deskripsi
--dir
-d		 nama direktori Menentukan direktori output untuk file kunci akun layanan. Jika tidak ada, create-service-account akan membuatnya. Jika direktori sudah ada, create-service-account akan menimpa file apa pun di direktori yang memiliki nama yang sama dengan file kunci yang dibuatnya.

Jika Anda tidak menentukan direktori output, create-service-account akan menulis file akun layanan ke direktori service-accounts/ dalam direktori tempat create-service-account berada.

--env
-e		 prod
non-prod		 Menentukan apakah Anda membuat akun layanan untuk lingkungan produksi (prod) atau lingkungan non-produksi (non-prod).
  • --env prod membuat akun layanan untuk lingkungan hybrid produksi.

    Di lingkungan produksi, sebaiknya Anda memiliki satu akun layanan untuk setiap layanan Apigee. Setiap peran yang dibuat akan memiliki satu peran IAM yang terkait dengannya.

    create-service-account -env prod akan membuat semua akun layanan yang digunakan oleh Apigee Hybrid, kecuali jika Anda menentukan akun layanan tertentu dengan --profile.

  • --env non-prod membuat satu akun layanan dengan semua peran IAM yang terikat padanya. Hal ini berguna untuk lingkungan non-produksi seperti penginstalan eksperimental atau demo.

    Akun layanan akan diberi nama apigee-non-prod kecuali jika Anda menentukan nama dengan tanda --name.

Jika Anda menjalankan create-service-account tanpa --env, Anda akan diminta untuk memasukkan prod atau non-prod.

--help
-h		 tidak ada Menampilkan teks bantuan.
--name
-n		 nama akun layanan Menentukan nama untuk akun layanan. --name hanya berlaku untuk satu akun layanan, yang ditentukan dengan --profile atau --env non-prod.

Nama ini juga merupakan bagian dari nama file sertifikat dan email untuk akun layanan. Misalnya, jika Anda menjalankan create-service-account --profile apigee-logger --name my-logger (dengan asumsi untuk contoh ini, project Cloud Anda saat ini adalah my-hybrid-project) create-service-account akan membuat akun dengan:

  • Nama: my-logger
  • Email: my-logger@my-hybrid-project.iam.gserviceaccount.com
  • File sertifikat: my-hybrid-project-my-logger.json

Jika Anda tidak menentukan --name, create-service-account akan menggunakan nama profil untuk nama akun layanan atau "apigee-non-prod" jika Anda menentukan --env non-prod.

‑‑profile
-p		 apigee‑cassandra
apigee‑logger
apigee‑mart
apigee‑metrics
apigee‑runtime
apigee‑synchronizer
apigee‑udca
apigee‑watcher		 Khusus untuk lingkungan produksi, menentukan satu akun layanan yang akan dibuat.

Anda dapat menentukan nama untuk akun layanan dengan tanda --name.

Memerlukan --env prod.

‑‑project‑id
-i		 project id Project ID project Google Cloud tempat Anda membuat akun layanan.

create-service-account membaca nilai variabel lingkungan PROJECT_ID. Jika tidak ada, Anda dapat menggunakan tanda --project-id.

Jika Anda tidak menentukan Project ID, create-service-account akan menggunakan ID project dalam konfigurasi gcloud Anda saat ini.

Untuk mengetahui informasi selengkapnya tentang akun layanan yang digunakan oleh Apigee Hybrid, lihat Tentang akun layanan.

Anda juga dapat membuat akun layanan di konsol Google Cloud. Lihat juga Membuat dan mengelola akun layanan.