Como administrador de nube, puede aprovechar el complemento de Google Cloud Platform (GCP) para crear cuentas de servicio mediante plantillas en Automation Assembler. Puede asociar la cuenta de servicio a un recurso de GCP para garantizar que solo se pueda acceder al recurso a través de la cuenta de servicio.
Propiedades de la cuenta de servicio
Se requieren las siguientes propiedades para aprovisionar recursos de la cuenta de servicio.
Propiedad | Descripción |
---|---|
name |
El nombre del recurso de la cuenta de servicio. |
account |
La cuenta de nube de GCP para las regiones de cuenta en las que el equipo implementa plantillas de nube. Consulte Crear una cuenta de nube de Google Cloud Platform en VMware Aria Automation para obtener más información. |
account_id |
El identificador de cuenta que se utiliza para generar la dirección de correo electrónico de la cuenta de servicio. Debe tener entre 6 y 30 caracteres. No puede cambiar el nombre de la cuenta de servicio después del aprovisionamiento. |
Propiedades de la clave de la cuenta de servicio
Debe crear una clave de cuenta de servicio para acceder al recurso de GCP asociado con la cuenta de servicio.
Se requieren las siguientes propiedades para aprovisionar las claves de la cuenta de servicio.
Propiedad | Descripción |
---|---|
name |
El nombre del recurso de la cuenta de servicio. |
account |
La cuenta de nube de GCP para las regiones de cuenta en las que el equipo implementa plantillas de nube. Consulte Crear una cuenta de nube de Google Cloud Platform en VMware Aria Automation para obtener más información. |
service_account_id |
El identificador de recurso de la cuenta utilizado para crear una clave de servicio. |
Después de crear correctamente la clave de la cuenta de servicio puede copiarla y almacenarla en un archivo JSON. Para copiar la clave de la cuenta de servicio:
- En Automation Assembler, seleccione y busque la implementación.
- En la pestaña Topología, seleccione la clave de la cuenta de servicio.
- Abra la sección Atributos y busque la propiedad
private_key_data
. - Copie la clave de la cuenta de servicio inmediatamente después de una implementación correcta.
Asegúrese de almacenar la clave de la cuenta de servicio en una ubicación segura.
Aprovisionar una cuenta de servicio con un depósito de almacenamiento
La siguiente plantilla muestra cómo puede aprovisionar una cuenta de servicio con un depósito de almacenamiento. "En este ejemplo, se crea un depósito de almacenamiento, una cuenta de servicio y una clave de cuenta de servicio."
Para asegurarse de que solo se pueda acceder al depósito de almacenamiento a través de la cuenta de servicio asociada, utilice la propiedad acl
en la plantilla de nube. Esta propiedad se utiliza para establecer controles de acceso en el recurso de depósito de almacenamiento. Consulte la documentación de REST de Google Cloud para obtener más información sobre los controles de acceso a los depósitos.
formatVersion: 1 inputs: {} resources: key_owner: type: Idem.GCP.IAM.SERVICE_ACCOUNT_KEY dependsOn: - owner properties: name: owner account: gcp service_account_id: ${resource.owner.resource_id} owner: type: Idem.GCP.IAM.SERVICE_ACCOUNT properties: name: sa-1 account: gcp account_id: sa-bucket-owner bucket: type: Idem.GCP.STORAGE.BUCKET dependsOn: - owner properties: name: bucket-1 account: gcp acl: - entity: user-${resource.owner.email} role: OWNER