Como administrador de nube, puede aprovechar el complemento de Google Cloud Platform (GCP) para crear cuentas de servicio mediante plantillas en Automation Assembler. Puede asociar la cuenta de servicio a un recurso de GCP para garantizar que solo se pueda acceder al recurso a través de la cuenta de servicio.

Importante: VMware Aria Automation actualmente admite la asociación de cuentas de servicio a recursos de depósito de almacenamiento.

Propiedades de la cuenta de servicio

Se requieren las siguientes propiedades para aprovisionar recursos de la cuenta de servicio.

Propiedad Descripción
name El nombre del recurso de la cuenta de servicio.
account La cuenta de nube de GCP para las regiones de cuenta en las que el equipo implementa plantillas de nube.

Consulte Crear una cuenta de nube de Google Cloud Platform en VMware Aria Automation para obtener más información.

account_id El identificador de cuenta que se utiliza para generar la dirección de correo electrónico de la cuenta de servicio. Debe tener entre 6 y 30 caracteres. No puede cambiar el nombre de la cuenta de servicio después del aprovisionamiento.

Propiedades de la clave de la cuenta de servicio

Debe crear una clave de cuenta de servicio para acceder al recurso de GCP asociado con la cuenta de servicio.

Se requieren las siguientes propiedades para aprovisionar las claves de la cuenta de servicio.

Propiedad Descripción
name El nombre del recurso de la cuenta de servicio.
account La cuenta de nube de GCP para las regiones de cuenta en las que el equipo implementa plantillas de nube.

Consulte Crear una cuenta de nube de Google Cloud Platform en VMware Aria Automation para obtener más información.

service_account_id El identificador de recurso de la cuenta utilizado para crear una clave de servicio.

Después de crear correctamente la clave de la cuenta de servicio puede copiarla y almacenarla en un archivo JSON. Para copiar la clave de la cuenta de servicio:

  1. En Automation Assembler, seleccione Recursos > Implementaciones y busque la implementación.
  2. En la pestaña Topología, seleccione la clave de la cuenta de servicio.
  3. Abra la sección Atributos y busque la propiedad private_key_data.
  4. Copie la clave de la cuenta de servicio inmediatamente después de una implementación correcta.

    Asegúrese de almacenar la clave de la cuenta de servicio en una ubicación segura.

Aprovisionar una cuenta de servicio con un depósito de almacenamiento

La siguiente plantilla muestra cómo puede aprovisionar una cuenta de servicio con un depósito de almacenamiento. "En este ejemplo, se crea un depósito de almacenamiento, una cuenta de servicio y una clave de cuenta de servicio."

Para asegurarse de que solo se pueda acceder al depósito de almacenamiento a través de la cuenta de servicio asociada, utilice la propiedad acl en la plantilla de nube. Esta propiedad se utiliza para establecer controles de acceso en el recurso de depósito de almacenamiento. Consulte la documentación de REST de Google Cloud para obtener más información sobre los controles de acceso a los depósitos.

formatVersion: 1
inputs: {}
resources:
  key_owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT_KEY
    dependsOn:
      - owner
    properties:
      name: owner
      account: gcp
      service_account_id: ${resource.owner.resource_id}
  owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT
    properties:
      name: sa-1
      account: gcp
      account_id: sa-bucket-owner
  bucket:
    type: Idem.GCP.STORAGE.BUCKET
    dependsOn:
      - owner
    properties:
      name: bucket-1
      account: gcp
      acl:
        - entity: user-${resource.owner.email}
          role: OWNER