個々の Apigee ハイブリッド コンポーネントが認証された API 呼び出しを行えるようにするため、適切なロールが付与された Google Cloud Platform(GCP)サービス アカウントを作成し、そのアカウントに関連付けられたサービス アカウント キーファイルをダウンロードします。このコマンドによって生成されたサービス アカウント キーファイルは、構成オーバーライド ファイルで使用できます。
create-service-account ツールは hybrid_root_dir/tools ディレクトリにあります。
前提条件
create-service-account ツールを使用するには、gcloud CLI がインストールされている必要があります。このユーティリティを呼び出すユーザーには Service Account Admin のロールが必要です。
まず、ステップ 2: GCP プロジェクトを作成するで作成したプロジェクトに gcloud プロジェクト構成が設定されていることを確認します。
gcloud config list project
現在のプロジェクト ID を切り替える場合は、次のコマンドを使用します。
gcloud config set project gcp_project_id
ここで、gcp_project_id は、ステップ 2: GCP プロジェクトを作成するで作成したプロジェクトです。
create-service-account の構文
create-service-account ツールの構文は次のとおりです。
create-service-account component-name output-dir [gcp_project_id]
ここで
- hybrid_service: このサービス アカウントを使用するハイブリッド サービスを指定します。指定できる値は次のとおりです。
apigee-cassandraapigee-loggerapigee-martapigee-metricsapigee-synchronizerapigee-udca
create-service-accountツールでapigee-org-adminサービス アカウントは作成できないのでご注意ください。このサービス アカウントを作成するには、GCP または gCloud API を使用する必要があります。詳細については、サービス アカウントを作成するをご覧ください。 - output_dir: ダウンロードされたサービス アカウント キーを保存する出力ディレクトリ。
- gcp_project_id(省略可): ハイブリッド対応組織にバインドされているプロジェクトの GCP プロジェクト ID を指定します。GCP プロジェクト ID を指定しなかった場合は、現在の gcloud 構成からプロジェクト ID が取得されます。
詳細な説明
create-service-account ツールは次のことを行います。
- Hybrid コンポーネントによって使用される GCP サービス アカウントを作成します。作成されたサービス アカウントには、その特定のコンポーネントが動作するために必要なロールが付与されます。
- サービス アカウント キーをシステムにダウンロードします。ハイブリッドインストール手順で説明されているように、このサービス アカウント キーをハイブリッド構成オーバーライド ファイルに設定します。
このツールは、次のコンポーネントのサービス アカウントを作成します。
| コンポーネント* | ロール | 基本インストールでの要否 | 説明 |
|---|---|---|---|
apigee-cassandra |
ストレージ オブジェクト管理者 | Cassandra が Google Cloud Storage(GCS)へのバックアップを実行できるようにします(バックアップと復元を参照)。 | |
apigee-logger |
ログ書き込み | ロギングデータの収集を可能にします(ロギングを参照)。クラスタが GKE 以外にインストールされている場合にのみ必要です。 | |
apigee-mart |
ロールなし | MART サービスの認証を可能にします。このサービス アカウントにロールは必要ありません。そのため、このサービス アカウントの作成時にロールを割り当てないでください。 | |
apigee-metrics |
モニタリング指標の書き込み | 指標データの収集を可能にします(指標の収集を参照)。 | |
apigee-org-admin |
Apigee 組織管理者 | getSyncAuthorization API と setSyncAuthorization API を呼び出せるようにします。create-service-account ツールを使用してこのサービス アカウントを作成することはできません。 |
|
apigee-synchronizer |
Apigee Synchronizer 管理者 | Synchronizer がプロキシ バンドルと環境構成データをダウンロードできるようにします。また、トレース機能も有効にします。 | |
apigee-udca |
Apigee Analytics エージェント | トレース、分析、デプロイのステータス データを管理プレーンに転送できるようにします。 | |
| * この名前は、ダウンロードされたサービス アカウント キーのファイル名で使用されます。 | |||
GCP Console でサービス アカウントを作成することもできます。サービス アカウントの作成と管理もご覧ください。
例
次の例では、apigee-logger サービス用の新しいサービス アカウントを作成し、ダウンロードされたキーファイルを ./service-accounts ディレクトリに配置します。
./my-hybrid-root/tools/create-service-account apigee-logger ./service-accounts