Configuração de contas de serviço

Como administrador de nuvem, você pode aproveitar o plug-in do Google Cloud Platform (GCP) para criar contas de serviço usando modelos no Automation Assembler. Você pode anexar a conta de serviço a um recurso do GCP para garantir que esse recurso só possa ser acessado por meio da conta de serviço.

Importante: O VMware Aria Automation atualmente oferece suporte à anexação de contas de serviço a recursos de bucket de armazenamento.

Propriedades da conta de serviço

As propriedades a seguir são necessárias para provisionar recursos de conta de serviço.


Propriedade	Descrição
`name`	O nome do recurso da conta de serviço.
`account`	A conta de nuvem do GCP para regiões de conta nas quais sua equipe implanta modelos de nuvem. Consulte Criar uma conta de nuvem do Google Cloud Platform no VMware Aria Automation para obter mais informações.
`account_id`	A ID da conta usada para gerar o endereço de e-mail da conta de serviço. Deve ter entre 6 e 30 caracteres. Não é possível alterar o nome da conta de serviço após o provisionamento.

Propriedades da chave da conta de serviço

Você deve criar uma chave de conta de serviço para acessar o recurso do GCP que está associado à conta de serviço.

As propriedades a seguir são necessárias para provisionar chaves de conta de serviço.


Propriedade	Descrição
`name`	O nome do recurso da conta de serviço.
`account`	A conta de nuvem do GCP para regiões de conta nas quais sua equipe implanta modelos de nuvem. Consulte Criar uma conta de nuvem do Google Cloud Platform no VMware Aria Automation para obter mais informações.
`service_account_id`	O ID de recurso da conta usado para criar uma chave de serviço.

Depois de criar com êxito a chave da conta de serviço, você pode copiá-la e armazená-la em um arquivo JSON. Para copiar a chave da conta de serviço:

No Automation Assembler, selecione Recursos > Implantações e localize sua implantação.
Na guia Topologia, selecione a chave da conta de serviço.
Abra a seção Atributos e localize a propriedade private_key_data.
Copie a chave da conta de serviço imediatamente após uma implantação bem-sucedida.
Certifique-se de armazenar a chave da conta de serviço em um local seguro.

Provisionando uma conta de serviço com um bucket de armazenamento

O modelo a seguir mostra como você pode provisionar uma conta de serviço com um bucket de armazenamento. Neste exemplo, você cria um bucket de armazenamento, uma conta de serviço e uma chave de conta de serviço.

Para garantir que o bucket de armazenamento só possa ser acessado por meio da conta de serviço associada, use a propriedade acl no modelo de nuvem. Essa propriedade é usada para definir controles de acesso no recurso de bucket de armazenamento. Consulte a documentação REST do Google Cloud para obter mais informações sobre controles de acesso ao bucket.

formatVersion: 1
inputs: {}
resources:
  key_owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT_KEY
    dependsOn:
      - owner
    properties:
      name: owner
      account: gcp
      service_account_id: ${resource.owner.resource_id}
  owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT
    properties:
      name: sa-1
      account: gcp
      account_id: sa-bucket-owner
  bucket:
    type: Idem.GCP.STORAGE.BUCKET
    dependsOn:
      - owner
    properties:
      name: bucket-1
      account: gcp
      acl:
        - entity: user-${resource.owner.email}
          role: OWNER