Configuration des comptes de service

En tant qu'administrateur de cloud, vous pouvez exploiter le plug-in Google Cloud Platform (GCP) pour créer des comptes de service dans Automation Assembler. Vous pouvez attacher le compte de service à une ressource GCP pour vous assurer que la ressource est accessible uniquement via le compte de service.

Important : VMware Aria Automation prend actuellement en charge l'attachement de comptes de service à des ressources de compartiment de stockage.

Propriétés du compte de service

Les propriétés suivantes sont requises pour provisionner les ressources du compte de service.


Propriété	Description
`name`	Nom de la ressource du compte de service.
`account`	Compte de cloud GCP pour les régions de compte vers lesquelles votre équipe déploie des modèles de cloud. Pour plus d'informations, reportez-vous à la section Création d'un compte de cloud Google Cloud Platform dans VMware Aria Automation.
`account_id`	ID de compte utilisé pour générer l'adresse e-mail du compte de service. Il doit comporter entre 6 et 30 caractères. Vous ne pouvez pas modifier le nom du compte de service après le provisionnement.

Propriétés de clé de compte de service

Vous devez créer une clé de compte de service pour accéder à la ressource GCP associée au compte de service.

Les propriétés suivantes sont requises pour provisionner des clés de compte de service.


Propriété	Description
`name`	Nom de la ressource du compte de service.
`account`	Compte de cloud GCP pour les régions de compte vers lesquelles votre équipe déploie des modèles de cloud. Pour plus d'informations, reportez-vous à la section Création d'un compte de cloud Google Cloud Platform dans VMware Aria Automation.
`service_account_id`	ID de ressource de compte utilisé pour créer une clé de service.

Après avoir créé la clé de compte de service. Vous pouvez la copier et la stocker dans un fichier JSON. Pour copier la clé du compte de service :

Dans Automation Assembler, sélectionnez Ressources > Déploiements et localisez votre déploiement.
Dans l'onglet Topologie, sélectionnez la clé du compte de service.
Ouvrez la section Attributs et recherchez la propriété private_key_data.
Copiez la clé du compte de service immédiatement après un déploiement réussi.
Assurez-vous de stocker la clé du compte de service dans un emplacement sécurisé.

Provisionnement d'un compte de service avec un compartiment de stockage

Le modèle suivant montre comment vous pouvez provisionner un compte de service avec un compartiment de stockage. Dans cet exemple, vous créez un compartiment de stockage, un compte de service et une clé de compte de service.

Pour vous assurer que le compartiment de stockage soit uniquement accessible via le compte de service associé, utilisez la propriété acl dans le modèle de cloud. Cette propriété est utilisée pour définir des contrôles d'accès sur la ressource de compartiment de stockage. Pour plus d'informations sur les contrôles d'accès au compartiment, reportez-vous à la documentation REST de Google Cloud.

formatVersion: 1
inputs: {}
resources:
  key_owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT_KEY
    dependsOn:
      - owner
    properties:
      name: owner
      account: gcp
      service_account_id: ${resource.owner.resource_id}
  owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT
    properties:
      name: sa-1
      account: gcp
      account_id: sa-bucket-owner
  bucket:
    type: Idem.GCP.STORAGE.BUCKET
    dependsOn:
      - owner
    properties:
      name: bucket-1
      account: gcp
      acl:
        - entity: user-${resource.owner.email}
          role: OWNER