Halaman ini diterjemahkan oleh Cloud Translation API.

Validasi akun layanan

Apigee hybrid memberikan validasi yang memastikan lokasi kunci akun layanan Anda tepat dan akun memiliki izin yang sesuai di project GCP Anda. Validasi ini diaktifkan secara default.

Bagian ini menjelaskan cara mengaktifkan atau menonaktifkan validasi akun layanan. Selain itu, langkah ini memastikan bahwa Anda telah mengaktifkan API yang sesuai untuk project GCP sehingga validasi dapat berfungsi.

Mengaktifkan validasi izin akun layanan

Untuk mengaktifkan validasi izin:

Pastikan Cloud Resource Manager API diaktifkan untuk project GCP Anda:
1. Buka konsol Google Cloud dan login dengan akun yang Anda buat di Langkah 1: Membuat akun Google Cloud.
2. Pilih project yang Anda buat di Langkah 2: Membuat project Google Cloud.
3. Pilih APIs & Services > Library.
4. Telusuri "Cloud Resource Manager".
5. Temukan layanan Cloud Resource Manager API, lalu klik layanan tersebut.
6. Jika belum diaktifkan, klik Enable.
Anda juga dapat mengaktifkan API menggunakan gcloud:
```
gcloud services enable cloudresourcemanager.googleapis.com --project GCP_project_ID
```

Dalam file penggantian, tambahkan properti validateServiceAccounts dan tetapkan ke true. Contoh:

...
# Enables strict validation of service account permissions.
validateServiceAccounts: true
...

Jika validasi diaktifkan, setiap kali apigeectl menerapkan komponen runtime campuran Apigee ke cluster Anda, alat ini akan memvalidasi kunci akun layanan yang disertakan dalam file penggantian Anda.

Memecahkan masalah error validasi

Jika validasi gagal, deployment runtime akan berhenti dan apigeectl akan keluar. Untuk memecahkan masalah kegagalan akun layanan, sebaiknya ketahui bahwa validasi memeriksa izin dalam urutan ini:

Izin pada project ID.
(Khusus UDCA dan Synchronizer) Jika pemeriksaan izin pada project gagal, validasi akan melanjutkan untuk memeriksa izin terhadap kebijakan IAM lingkungan Apigee. SA ini dicakup lingkungan dan lingkungan mendukung izin yang lebih terperinci.
Untuk memperbarui kebijakan IAM untuk lingkungan tertentu, buka UI campuran. Buka Admin > Environments > Access

Misalnya, berikut adalah pesan error untuk pemeriksaan izin yang gagal:

Invalid Metrics Service Account. Service Account
"apigee-metrics@hybrid-project." is missing 1 or more required
permissions [monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create].
Visit Service accounts and roles used by
hybrid components for more details on setting up Apigee hybrid service account permissions.

Untuk mengatasi error ini, tambahkan peran yang diperlukan ke akun layanan. Untuk informasi tentang cara membuat dan mengubah akun layanan, lihat Membuat akun layanan. Untuk memeriksa izin yang diperlukan bagi setiap komponen hybrid Apigee, lihat Akun layanan dan peran yang digunakan oleh komponen hybrid.

Menonaktifkan validasi izin

Untuk menonaktifkan validasi izin akun layanan, tetapkan properti validationServiceAccounts dalam file penggantian ke false, seperti yang ditunjukkan pada contoh berikut:

...
# Enables strict validation of service account permissions.
validateServiceAccounts: false
...