作为云管理员,您可以利用 Google Cloud Platform (GCP) 插件在 Automation Assembler 中使用模板创建服务帐户。您可以将服务帐户附加到 GCP 资源,以确保只能通过服务帐户访问该资源。
重要说明:
VMware Aria Automation 当前支持将服务帐户连接到存储桶资源。
服务帐户属性
置备服务帐户资源需要以下属性。
| 属性 | 说明 |
|---|---|
name |
服务帐户的资源名称。 |
account |
您的团队在其中部署云模板的帐户区域的 GCP 云帐户。 有关详细信息,请参见在 VMware Aria Automation 中创建 Google Cloud Platform 云帐户。 |
account_id |
用于生成服务帐户电子邮件地址的帐户 ID。必须介于 6 到 30 个字符之间。置备后,无法更改服务帐户名称。 |
服务帐户密钥属性
必须创建服务帐户密钥才能访问与服务帐户关联的 GCP 资源。
置备服务帐户密钥需要以下属性。
| 属性 | 说明 |
|---|---|
name |
服务帐户的资源名称。 |
account |
您的团队在其中部署云模板的帐户区域的 GCP 云帐户。 有关详细信息,请参见在 VMware Aria Automation 中创建 Google Cloud Platform 云帐户。 |
service_account_id |
用于创建服务密钥的帐户资源 ID。 |
成功创建服务帐户密钥后,可以复制该密钥并将其存储在 JSON 文件中。要复制服务帐户密钥,请执行以下操作:
- 在 Automation Assembler 中,选择,然后找到您的部署。
- 在拓扑选项卡上,选择服务帐户密钥。
- 打开属性部分,然后找到
private_key_data属性。 - 成功部署后立即复制服务帐户密钥。
确保将服务帐户密钥存储在安全位置。
置备具有存储桶的服务帐户
以下模板显示了如何使用桶置备服务帐户。在此示例中,您将创建桶、服务帐户和服务帐户密钥。
要确保只能通过关联的服务帐户访问存储桶,需要在云模板中使用 acl 属性。此属性用于设置对存储桶资源的访问控制。有关存储桶访问控制的详细信息,请参见 Google Cloud REST 文档。
formatVersion: 1
inputs: {}
resources:
key_owner:
type: Idem.GCP.IAM.SERVICE_ACCOUNT_KEY
dependsOn:
- owner
properties:
name: owner
account: gcp
service_account_id: ${resource.owner.resource_id}
owner:
type: Idem.GCP.IAM.SERVICE_ACCOUNT
properties:
name: sa-1
account: gcp
account_id: sa-bucket-owner
bucket:
type: Idem.GCP.STORAGE.BUCKET
dependsOn:
- owner
properties:
name: bucket-1
account: gcp
acl:
- entity: user-${resource.owner.email}
role: OWNER
