create-service-account

`create-serice-account` 개요

create-serice-account는 Apigee Hybrid와 함께 제공되는 명령줄 도구로, 개별 Apigee Hybrid 구성 요소가 승인된 API 호출을 수행하고 관련된 서비스 계정 키 파일을 다운로드할 수 있는 역할을 가진 Google Cloud 서비스 계정을 생성합니다. 구성 재정의 파일에서 이 명령어로 생성된 서비스 계정 키 파일을 사용할 수 있습니다.

create-service-account는 현재 Google Cloud 프로젝트 또는 지정된 프로젝트에 하나 이상의 서비스 계정을 만들고, 이 서비스 계정에 올바른 IAM 역할을 할당하고, 해당 서비스 계정에 대해 인증서 파일을 로컬 머신의 디렉터리에 다운로드합니다.

서비스 계정에 대해 자세히 알아보고 프로덕션 환경에 권장되는 서비스 계정의 전체 목록을 확인하려면 다음을 참조하세요.

Google Cloud 콘솔에서 서비스 계정을 만들 수도 있습니다. 서비스 계정 만들기 및 관리도 참조하세요.

기본 요건

역할

create-service-account 도구를 사용하려면 gcloud CLI가 설치되어 있어야 합니다. 유틸리티를 호출하는 사용자에게는 Service Account Admin 역할이 부여되어야 합니다.

프로젝트

서비스 계정은 특정 Google Cloud 프로젝트에 바인딩됩니다. create-service-account는 현재 프로젝트 또는 지정된 프로젝트에 서비스 계정을 만들고, 해당 프로젝트 내에서 서비스 계정에 IAM 역할을 바인딩합니다. create-service-account는 또한 서비스 계정 키 파일 이름 및 이메일의 일부로 프로젝트 ID를 사용합니다. 예를 들어 프로젝트 이름이 my-hybrid-project이면 apigee-logger 서비스 계정 키 파일 이름이 my-hybrid-project-apigee-logger.json이 되고 서비스 계정의 이메일 주소가 apigee-logger@my-hybrid-project.iam.gserviceaccount.com이 됩니다.

PROJECT_ID 환경 변수를 정의하거나 --project-id 플래그를 사용하여 프로젝트를 지정할 수 있습니다. create-service-account는 PROJECT_ID 환경 변수의 값을 읽습니다. 이 도구가 없는 경우 --project-id 플래그를 사용할 수 있습니다.

Cloud 프로젝트 ID를 지정하지 않는 경우 create-service-account는 현재 gcloud 프로젝트 구성에서 프로젝트를 사용합니다.

다음 명령어로 현재 설정된 gcloud 프로젝트 구성을 확인할 수 있습니다.

gcloud config list project

현재 프로젝트 ID를 변경해야 하는 경우 다음 명령어를 사용합니다.

gcloud config set project PROJECT_ID

여기서 PROJECT_ID는 현재 클라우드 프로젝트의 ID입니다. 클라우드 프로젝트 만들기 안내는 2단계: Google Cloud 프로젝트 만들기를 참조하세요.

파일 위치

다음 디렉터리에서 create-service-account 도구를 찾을 수 있습니다.

$APIGEE_HELM_CHARTS_HOME/apigee-operator/etc/tools/

`create-service-account` 도구의 실행 가능 여부 확인

create-service-account가 실행 가능한지 확인합니다. Apigee Helm 차트를 방금 다운로드한 경우에는 명령줄 도구가 실행 모드가 아닐 수 있습니다. create-service-account가 설치된 디렉터리로 이동하고 --help로 실행하여 실행 가능한지 확인합니다.

./create-service-account --help

출력에 permission denied가 표시되면 Linux, MacOS, UNIX 또는 Windows Explorer에서 chmod를, Windows에서 icacls 명령어를 사용하여 파일을 실행 가능하게 만들어야 합니다. 예를 들면 다음과 같습니다.

chmod +x ./create-service-account

`create-service-account` 사용

다음 예시는 일반적인 Apigee Hybrid 설정 태스크에 create-service-account를 사용하는 방법을 보여줍니다.

프로덕션 환경에 서비스 계정 만들기

프로덕션 하이브리드 환경에서 Apigee는 각 구성요소에 대해 개별 서비스 계정을 사용하도록 권장합니다. 다음 명령어를 사용하여 기본 디렉터리에 있는 기본 이름을 사용하여 하이브리드 구성요소에 대해 모든 서비스 계정을 만듭니다.

./tools/create-service-account --env prod

이렇게 하면 ./tools/service-accounts 디렉터리에 다운로드된 인증서 파일로 다음 서비스 계정을 만듭니다.

서비스 계정	IAM 역할	이메일	인증서 파일
`apigee-cassandra`	`roles/storage.objectAdmin`	`apigee-cassandra@PROJECT_ID.iam.gserviceaccount.com`	`PROJECT_ID-apigee-cassandra.json`
`apigee-logger`	`roles/logging.logWriter`	`apigee-logger@PROJECT_ID.iam.gserviceaccount.com`	`PROJECT_ID-apigee-logger.json`
`apigee-mart`	`roles/apigeeconnect.Agent`	`apigee-mart@PROJECT_ID.iam.gserviceaccount.com`	`PROJECT_ID-apigee-mart.json`
`apigee-metrics`	`roles/monitoring.metricWriter`	`apigee-metrics@PROJECT_ID.iam.gserviceaccount.com`	`PROJECT_ID-apigee-metrics.json`
`apigee-runtime`	할당된 역할 없음	`apigee-runtime@PROJECT_ID.iam.gserviceaccount.com`	`PROJECT_ID-apigee-runtime.json`
`apigee-synchronizer`	`roles/apigee.synchronizerManager`	`apigee-synchronizer@PROJECT_ID.iam.gserviceaccount.com`	`PROJECT_ID-apigee-synchronizer.json`
`apigee-udca`	`roles/apigee.analyticsAgent`	`apigee-udca@PROJECT_ID.iam.gserviceaccount.com`	`PROJECT_ID-apigee-udca.json`
`apigee-watcher`	`roles/apigee.runtimeAgent`	`apigee-watcher@PROJECT_ID.iam.gserviceaccount.com`	`PROJECT_ID-apigee-watcher.json`

비프로덕션 환경에 대해 단일 서비스 계정 만들기

실험 또는 데모 환경과 같은 비프로덕션 환경의 경우 모든 구성요소에 사용할 수 있는 'apigee-non-prod'라는 단일 서비스 계정을 만들 수 있습니다. 이 서비스 계정은 할당된 이전 예시의 모든 IAM 역할을 갖습니다.

./tools/create-service-account --env non-prod

이렇게 하면 apigee-non-prod라는 단일 서비스 계정을 만들고 인증서 파일을 ./tools/service-accounts 디렉터리에 다운로드합니다.

서비스 계정	IAM 역할	이메일	인증서 파일
`apigee-non-prod`	`roles/apigee.analyticsAgent roles/apigee.runtimeAgent roles/apigee.synchronizerManager roles/apigeeconnect.Agent roles/logging.logWriter roles/monitoring.metricWriter roles/storage.objectAdmin`	`apigee-non-prod@PROJECT_ID.iam.gserviceaccount.com`	`PROJECT_ID-apigee-non-prod.json`

`create-service-account syntax`

create-service-account 도구는 다음 문법을 사용합니다.

create-service-account [flags]

다음 표에는 create-service-account 플래그가 나와 있습니다.

플래그	값	설명
`--dir` `-d`	디렉터리 이름	서비스 계정 키 파일의 출력 디렉터리를 지정합니다. 디렉터리가 존재하지 않으면 `create-service-account`가 이를 만듭니다. 디렉터리가 이미 존재하는 경우 `create-service-account`가 디렉터리에서 생성하는 키 파일과 동일한 이름의 파일을 덮어씁니다. 출력 디렉터리를 지정하지 않으면 `create-service-account`가 서비스 계정 파일을 `create-service-account`가 있는 디렉터리 내의 `service-accounts/` 디렉터리에 기록합니다.
`--env` `-e`	`prod` `non-prod`	서비스 계정을 만드는 대상 환경이 프로덕션(`prod`) 환경 또는 비프로덕션(`non-prod`) 환경인지 지정합니다. `--env prod`는 프로덕션 하이브리드 환경에 대해 서비스 계정을 만듭니다. 프로덕션 환경에서는 각 Apigee 서비스에 대해 단일 서비스 계정을 두는 것이 좋습니다. 생성된 각 역할은 단일 IAM 역할이 연결됩니다. `create-service-account -env prod`는 `--profile`로 특정 서비스 계정을 지정하지 않는 한 Apigee Hybrid에서 사용되는 모든 서비스 계정을 만듭니다. `--env non-prod`는 모든 IAM 역할이 바인딩된 단일 서비스 계정을 만듭니다. 이것은 환경 또는 데모 설치와 같은 비프로덕션 환경에 유용합니다. 서비스 계정은 `--name` 플래그로 이름을 지정하지 않는 한 `apigee-non-prod`로 이름이 지정됩니다. `--env` 없이 `create-service-account`를 실행하면 `prod` 또는 `non-prod`를 입력하라는 메시지가 표시됩니다.
`--help` `-h`	없음	도움말 텍스트를 표시합니다.
`--name` `-n`	서비스 계정 이름	서비스 계정의 이름을 지정합니다. `--name`은 `--profile` 또는 `--env non-prod`로 지정된 단일 서비스 계정에만 적용됩니다. 이 이름은 또한 서비스 계정의 인증서 파일 이름 및 이메일의 일부입니다. 예를 들어 `create-service-account --profile apigee-logger --name my-logger`(이 예시에서는 현재 클라우드 프로젝트가 my-hybrid-project라고 가정)를 실행하는 경우 `create-service-account`가 다음 정보를 사용하여 계정을 만듭니다. 이름: `my-logger` 이메일: `my-logger@my-hybrid-project.iam.gserviceaccount.com` 인증서 파일: `my-hybrid-project-my-logger.json` `--name`을 지정하지 않으면 `create-service-account`가 서비스 계정의 이름에 대한 프로필 또는 `--env non-prod`를 지정한 경우 'apigee-non-prod'를 사용합니다.
`‑‑profile` `-p`	`apigee‑cassandra` `apigee‑logger` `apigee‑mart` `apigee‑metrics` `apigee‑runtime` `apigee‑synchronizer` `apigee‑udca` `apigee‑watcher`	프로덕션 환경의 경우에만 만들 단일 서비스 계정을 지정합니다. `--name` 플래그로 서비스 계정의 이름을 지정할 수 있습니다. `--env prod`가 필요합니다.
`‑‑project‑id` `-i`	project id	서비스 계정을 만들려는 Google Cloud 프로젝트의 프로젝트 ID입니다. `create-service-account`는 `PROJECT_ID` 환경 변수의 값을 읽습니다. 이 도구가 없는 경우 `--project-id` 플래그를 사용할 수 있습니다. 프로젝트 ID를 지정하는 경우 `create-service-account`는 현재 gcloud 구성에서 프로젝트의 ID를 사용합니다.

참고: create-service-account 도구는 동기화 담당자 액세스를 사용 설정하기 위해 사용되는 apigee-org-admin 서비스 계정을 만들 수 없습니다. 이렇게 하려면 Google Cloud 콘솔 또는 gcloud API를 사용해야 합니다.

Apigee Hybrid에 사용되는 서비스 계정에 대한 자세한 내용은 서비스 계정 정보를 참조하세요.

Google Cloud 콘솔에서 서비스 계정을 만들 수도 있습니다. 서비스 계정 만들기 및 관리도 참조하세요.

create-service-account 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

create-serice-account 개요

기본 요건

역할

프로젝트

파일 위치

create-service-account 도구의 실행 가능 여부 확인

create-service-account 사용

프로덕션 환경에 서비스 계정 만들기

비프로덕션 환경에 대해 단일 서비스 계정 만들기

create-service-account syntax

create-service-account

`create-serice-account` 개요

`create-service-account` 도구의 실행 가능 여부 확인

`create-service-account` 사용

`create-service-account syntax`