ステップ 5: サービス アカウントと認証情報を作成する

このステップでは、Apigee ハイブリッドの運用に必要な Google Cloud サービス アカウントと TLS 認証情報を作成する方法について説明します。

サービス アカウントを作成する

Apigee ハイブリッドは Google Cloud サービス アカウントを使用して、認可された API 呼び出しによるハイブリッド コンポーネント間の通信を許可します。

このステップでは、Apigee ハイブリッド コマンドライン ツールを使用して、一連のサービス アカウントを作成し、サービス アカウントの秘密鍵ファイルをダウンロードします。

Apigee が提供するツールである create-service-account を使用すると、1 つのコマンドでサービス アカウントを作成し、サービス アカウントにロールを割り当て、サービス アカウントのキーファイルを作成してダウンロードできます。

  1. プロジェクト ディレクトリ構造を設定するで構成した base_directory/hybrid-files ディレクトリ内にいることを確認します。
  2. PROJECT_ID 環境変数が Google クラウド プロジェクト ID に設定されていることを確認します。 create-service-account ツールは PROJECT_ID 環境変数を読み取り、正しいプロジェクトにサービス アカウントを作成します。
    echo $PROJECT_ID
  3. hybrid-files ディレクトリ内から次のコマンドを実行します。このコマンドにより、非本番環境で使用する apigee-non-prod という名前の 1 つのサービス アカウントが作成され、ダウンロードした鍵ファイルが ./service-accounts ディレクトリに配置されます。
    ./tools/create-service-account --env non-prod --dir ./service-accounts

    次のプロンプトが表示されたら、「y」と入力します。

    [INFO]: gcloud configured project ID is project_id.
     Enter: y to proceed with creating service account in project: project_id
     Enter: n to abort.

    特定の名前が割り当てられた SA を初めて作成する場合は、ツールがプロンプトを出さずに SA を作成します。

    ただし、次のメッセージとプロンプトが表示されたら、「y」を入力して新しい鍵を生成してください。

    [INFO]: Service account apigee-non-prod@project_id.iam.gserviceaccount.com already exists.
    ...
     [INFO]: The service account might have keys associated with it. It is recommended to use existing keys.
     Press: y to generate new keys.(this does not deactivate existing keys)
     Press: n to skip generating new keys.
  4. 次のコマンドを使用して、サービス アカウント キーが作成されたことを確認します。これらの秘密鍵は安全に保存する必要があります。鍵ファイルの名前の先頭に、Google Cloud プロジェクトの名前が付加されます。
    ls ./service-accounts

    結果は次のようになります。

    project_id-apigee-non-prod.json

これで、サービス アカウントが作成され、Apigee ハイブリッド コンポーネントに必要なロールが割り当てられました。次は、ハイブリッド Ingress ゲートウェイに必要な TLS 証明書です。

1 2 3 4 5 (次)ステップ 6: TLS 証明書を作成する 7 8 9