En tant qu'administrateur de cloud, vous pouvez exploiter le plug-in Google Cloud Platform (GCP) pour créer des comptes de service dans Automation Assembler. Vous pouvez attacher le compte de service à une ressource GCP pour vous assurer que la ressource est accessible uniquement via le compte de service.
Propriétés du compte de service
Les propriétés suivantes sont requises pour provisionner les ressources du compte de service.
Propriété | Description |
---|---|
name |
Nom de la ressource du compte de service. |
account |
Compte de cloud GCP pour les régions de compte vers lesquelles votre équipe déploie des modèles de cloud. Pour plus d'informations, reportez-vous à la section Création d'un compte de cloud Google Cloud Platform dans VMware Aria Automation. |
account_id |
ID de compte utilisé pour générer l'adresse e-mail du compte de service. Il doit comporter entre 6 et 30 caractères. Vous ne pouvez pas modifier le nom du compte de service après le provisionnement. |
Propriétés de clé de compte de service
Vous devez créer une clé de compte de service pour accéder à la ressource GCP associée au compte de service.
Les propriétés suivantes sont requises pour provisionner des clés de compte de service.
Propriété | Description |
---|---|
name |
Nom de la ressource du compte de service. |
account |
Compte de cloud GCP pour les régions de compte vers lesquelles votre équipe déploie des modèles de cloud. Pour plus d'informations, reportez-vous à la section Création d'un compte de cloud Google Cloud Platform dans VMware Aria Automation. |
service_account_id |
ID de ressource de compte utilisé pour créer une clé de service. |
Après avoir créé la clé de compte de service. Vous pouvez la copier et la stocker dans un fichier JSON. Pour copier la clé du compte de service :
- Dans Automation Assembler, sélectionnez et localisez votre déploiement.
- Dans l'onglet Topologie, sélectionnez la clé du compte de service.
- Ouvrez la section Attributs et recherchez la propriété
private_key_data
. - Copiez la clé du compte de service immédiatement après un déploiement réussi.
Assurez-vous de stocker la clé du compte de service dans un emplacement sécurisé.
Provisionnement d'un compte de service avec un compartiment de stockage
Le modèle suivant montre comment vous pouvez provisionner un compte de service avec un compartiment de stockage. Dans cet exemple, vous créez un compartiment de stockage, un compte de service et une clé de compte de service.
Pour vous assurer que le compartiment de stockage soit uniquement accessible via le compte de service associé, utilisez la propriété acl
dans le modèle de cloud. Cette propriété est utilisée pour définir des contrôles d'accès sur la ressource de compartiment de stockage. Pour plus d'informations sur les contrôles d'accès au compartiment, reportez-vous à la documentation REST de Google Cloud.
formatVersion: 1 inputs: {} resources: key_owner: type: Idem.GCP.IAM.SERVICE_ACCOUNT_KEY dependsOn: - owner properties: name: owner account: gcp service_account_id: ${resource.owner.resource_id} owner: type: Idem.GCP.IAM.SERVICE_ACCOUNT properties: name: sa-1 account: gcp account_id: sa-bucket-owner bucket: type: Idem.GCP.STORAGE.BUCKET dependsOn: - owner properties: name: bucket-1 account: gcp acl: - entity: user-${resource.owner.email} role: OWNER