create-service-account

個々の Apigee ハイブリッド コンポーネントが認証された API 呼び出しを行えるようにするため、適切なロールが付与された Google Cloud Platform(GCP)サービス アカウントを作成し、そのアカウントに関連付けられたサービス アカウント キーファイルをダウンロードします。このコマンドによって生成されたサービス アカウント キーファイルは、構成オーバーライド ファイルで使用できます。

create-service-account ツールは hybrid_root_dir/tools ディレクトリにあります。

前提条件

create-service-account ツールを使用するには、gcloud CLI がインストールされている必要があります。このユーティリティを呼び出すユーザーには Service Account Admin のロールが必要です。

まず、ステップ 2: GCP プロジェクトを作成するで作成したプロジェクトに gcloud プロジェクト構成が設定されていることを確認します。

gcloud config list project

現在のプロジェクト ID を切り替える場合は、次のコマンドを使用します。

gcloud config set project gcp_project_id

ここで、gcp_project_id は、ステップ 2: GCP プロジェクトを作成するで作成したプロジェクトです。

create-service-account の構文

create-service-account ツールの構文は次のとおりです。

create-service-account component-name output-dir [gcp_project_id]

ここで

  • hybrid_service: このサービス アカウントを使用するハイブリッド サービスを指定します。指定できる値は次のとおりです。
    • apigee-cassandra
    • apigee-logger
    • apigee-mart
    • apigee-metrics
    • apigee-synchronizer
    • apigee-udca

    create-service-account ツールで apigee-org-admin サービス アカウントは作成できないのでご注意ください。このサービス アカウントを作成するには、GCP または gCloud API を使用する必要があります。詳細については、サービス アカウントを作成するをご覧ください。

  • output_dir: ダウンロードされたサービス アカウント キーを保存する出力ディレクトリ。
  • gcp_project_id(省略可): ハイブリッド対応組織にバインドされているプロジェクトの GCP プロジェクト ID を指定します。GCP プロジェクト ID を指定しなかった場合は、現在の gcloud 構成からプロジェクト ID が取得されます。

詳細な説明

create-service-account ツールは次のことを行います。

  • Hybrid コンポーネントによって使用される GCP サービス アカウントを作成します。作成されたサービス アカウントには、その特定のコンポーネントが動作するために必要なロールが付与されます。
  • サービス アカウント キーをシステムにダウンロードします。ハイブリッドインストール手順で説明されているように、このサービス アカウント キーをハイブリッド構成オーバーライド ファイルに設定します。

このツールは、次のコンポーネントのサービス アカウントを作成します。

コンポーネント* ロール 基本インストールでの要否 説明
apigee-cassandra ストレージ オブジェクト管理者 Cassandra が Google Cloud Storage(GCS)へのバックアップを実行できるようにします(バックアップと復元を参照)。
apigee-logger ログ書き込み ロギングデータの収集を可能にします(ロギングを参照)。クラスタが GKE 以外にインストールされている場合にのみ必要です。
apigee-mart ロールなし MART サービスの認証を可能にします。このサービス アカウントにロールは必要ありません。そのため、このサービス アカウントの作成時にロールを割り当てないでください。
apigee-metrics モニタリング指標の書き込み 指標データの収集を可能にします(指標の収集を参照)。
apigee-org-admin Apigee 組織管理者 getSyncAuthorization APIsetSyncAuthorization API を呼び出せるようにします。create-service-account ツールを使用してこのサービス アカウントを作成することはできません。
apigee-synchronizer Apigee Synchronizer 管理者 Synchronizer がプロキシ バンドルと環境構成データをダウンロードできるようにします。また、トレース機能も有効にします。
apigee-udca Apigee Analytics エージェント トレース、分析、デプロイのステータス データを管理プレーンに転送できるようにします。
* この名前は、ダウンロードされたサービス アカウント キーのファイル名で使用されます。

GCP Console でサービス アカウントを作成することもできます。サービス アカウントの作成と管理もご覧ください。

次の例では、apigee-logger サービス用の新しいサービス アカウントを作成し、ダウンロードされたキーファイルを ./service-accounts ディレクトリに配置します。

./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts