Konfigurieren von Dienstkonten

Als Cloud-Administrator können Sie das GCP-Plug-In (Google Cloud Platform) nutzen, um Dienstkonten mithilfe von Vorlagen in Automation Assembler zu erstellen. "Sie können das Dienstkonto an eine GCP-Ressource anhängen, um sicherzustellen, dass auf diese Ressource nur über das Dienstkonto zugegriffen werden kann."

Wichtig: VMware Aria Automation unterstützt derzeit das Anhängen von Dienstkonten an Speicher-Bucket-Ressourcen.

Eigenschaften von Dienstkonten

Die folgenden Eigenschaften sind erforderlich, um Dienstkontoressourcen bereitzustellen.


Eigenschaft	Beschreibung
`name`	Der Ressourcenname des Dienstkontos.
`account`	Das GCP-Cloud-Konto für Kontoregionen, in denen Ihr Team Cloud-Vorlagen bereitstellt. Weitere Informationen finden Sie unter Erstellen eines Google Cloud Platform-Cloud-Kontos in VMware Aria Automation.
`account_id`	Die Konto-ID, die zum Generieren der E-Mail-Adresse des Dienstkontos verwendet wird. Sie muss 6 bis 30 Zeichen lang sein. Sie können den Namen des Dienstkontos nach der Bereitstellung nicht mehr ändern.

Eigenschaften des Dienstkontoschlüssels

Sie müssen einen Dienstkontoschlüssel erstellen, damit Sie auf die GCP-Ressource zugreifen können, die dem Dienstkonto zugeordnet ist.

Die folgenden Eigenschaften sind erforderlich, um Dienstkontoschlüssel bereitzustellen.


Eigenschaft	Beschreibung
`name`	Der Ressourcenname des Dienstkontos.
`account`	Das GCP-Cloud-Konto für Kontoregionen, in denen Ihr Team Cloud-Vorlagen bereitstellt. Weitere Informationen finden Sie unter Erstellen eines Google Cloud Platform-Cloud-Kontos in VMware Aria Automation.
`service_account_id`	Die Kontoressourcen-ID, die zum Erstellen eines Dienstschlüssels verwendet wird.

Nachdem Sie den Dienstkontoschlüssel erfolgreich erstellt haben, können Sie ihn kopieren und in einer JSON-Datei speichern. So kopieren Sie den Dienstkontoschlüssel:

Klicken Sie in Automation Assembler auf Ressourcen > Bereitstellungen und suchen Sie Ihre Bereitstellung.
Wählen Sie auf der Registerkarte Topologie den Dienstkontoschlüssel aus.
Öffnen Sie den Abschnitt Attribute und suchen Sie die Eigenschaft private_key_data.
Kopieren Sie den Dienstkontoschlüssel unmittelbar nach einer erfolgreichen Bereitstellung.
Stellen Sie sicher, dass Sie den Dienstkontoschlüssel an einem sicheren Ort speichern.

Bereitstellen eines Dienstkontos mit einem Speicher-Bucket

Die folgende Vorlage zeigt, wie Sie ein Dienstkonto mit einem Speicher-Bucket bereitstellen können. In diesem Beispiel erstellen Sie einen Speicher-Bucket, ein Dienstkonto und einen Dienstkontoschlüssel.

Um sicherzustellen, dass nur über das zugehörige Dienstkonto auf den Speicher-Bucket zugegriffen werden kann, verwenden Sie die Eigenschaft acl in der Cloud-Vorlage. "Diese Eigenschaft wird verwendet, um Zugriffssteuerungen für die Speicher-Bucket-Ressource festzulegen." Weitere Informationen zu Bucket-Zugriffssteuerungen finden Sie in der Google Cloud-REST-Dokumentation.

formatVersion: 1
inputs: {}
resources:
  key_owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT_KEY
    dependsOn:
      - owner
    properties:
      name: owner
      account: gcp
      service_account_id: ${resource.owner.resource_id}
  owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT
    properties:
      name: sa-1
      account: gcp
      account_id: sa-bucket-owner
  bucket:
    type: Idem.GCP.STORAGE.BUCKET
    dependsOn:
      - owner
    properties:
      name: bucket-1
      account: gcp
      acl:
        - entity: user-${resource.owner.email}
          role: OWNER