作为云管理员,您可以利用 Google Cloud Platform (GCP) 插件在 Automation Assembler 中使用模板创建服务帐户。您可以将服务帐户附加到 GCP 资源,以确保只能通过服务帐户访问该资源。

重要说明: VMware Aria Automation 当前支持将服务帐户连接到存储桶资源。

服务帐户属性

置备服务帐户资源需要以下属性。

属性 说明
name 服务帐户的资源名称。
account 您的团队在其中部署云模板的帐户区域的 GCP 云帐户。

有关详细信息,请参见VMware Aria Automation 中创建 Google Cloud Platform 云帐户

account_id 用于生成服务帐户电子邮件地址的帐户 ID。必须介于 6 到 30 个字符之间。置备后,无法更改服务帐户名称。

服务帐户密钥属性

必须创建服务帐户密钥才能访问与服务帐户关联的 GCP 资源。

置备服务帐户密钥需要以下属性。

属性 说明
name 服务帐户的资源名称。
account 您的团队在其中部署云模板的帐户区域的 GCP 云帐户。

有关详细信息,请参见VMware Aria Automation 中创建 Google Cloud Platform 云帐户

service_account_id 用于创建服务密钥的帐户资源 ID。

成功创建服务帐户密钥后,可以复制该密钥并将其存储在 JSON 文件中。要复制服务帐户密钥,请执行以下操作:

  1. Automation Assembler 中,选择资源 > 部署,然后找到您的部署。
  2. 拓扑选项卡上,选择服务帐户密钥。
  3. 打开属性部分,然后找到 private_key_data 属性。
  4. 成功部署后立即复制服务帐户密钥。

    确保将服务帐户密钥存储在安全位置。

置备具有存储桶的服务帐户

以下模板显示了如何使用桶置备服务帐户。在此示例中,您将创建桶、服务帐户和服务帐户密钥。

要确保只能通过关联的服务帐户访问存储桶,需要在云模板中使用 acl 属性。此属性用于设置对存储桶资源的访问控制。有关存储桶访问控制的详细信息,请参见 Google Cloud REST 文档

formatVersion: 1
inputs: {}
resources:
  key_owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT_KEY
    dependsOn:
      - owner
    properties:
      name: owner
      account: gcp
      service_account_id: ${resource.owner.resource_id}
  owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT
    properties:
      name: sa-1
      account: gcp
      account_id: sa-bucket-owner
  bucket:
    type: Idem.GCP.STORAGE.BUCKET
    dependsOn:
      - owner
    properties:
      name: bucket-1
      account: gcp
      acl:
        - entity: user-${resource.owner.email}
          role: OWNER