In qualità di amministratore del cloud, è possibile utilizzare al meglio il plug-in Google Cloud Platform (GCP) per creare account di servizio utilizzando modelli in Automation Assembler. È possibile collegare l'account di servizio a una risorsa GCP per assicurarsi che sia possibile accedere alla risorsa solo tramite l'account di servizio.
Proprietà dell'account di servizio
Per eseguire il provisioning delle risorse dell'account di servizio, sono necessarie le proprietà seguenti.
| Proprietà | Descrizione |
|---|---|
name |
Nome della risorsa dell'account del servizio. |
account |
Account cloud di GCP per le regioni dell'account in cui il team distribuisce i modelli cloud. Per ulteriori informazioni, vedere Creazione di un account cloud di Google Cloud Platform in VMware Aria Automation. |
account_id |
ID dell'account utilizzato per generare l'indirizzo email dell'account di servizio. Deve contenere da 6 a 30 caratteri. Non è possibile modificare il nome dell'account di servizio dopo il provisioning. |
Proprietà delle chiave dell'account di servizio
È necessario creare una chiave dell'account di servizio per accedere alla risorsa GCP associata all'account di servizio.
Per eseguire il provisioning delle chiavi degli account di servizio, sono necessarie le proprietà seguenti.
| Proprietà | Descrizione |
|---|---|
name |
Nome della risorsa dell'account del servizio. |
account |
Account cloud di GCP per le regioni dell'account in cui il team distribuisce i modelli cloud. Per ulteriori informazioni, vedere Creazione di un account cloud di Google Cloud Platform in VMware Aria Automation. |
service_account_id |
ID risorsa account utilizzato per creare una chiave del servizio. |
Dopo aver creato correttamente la chiave dell'account di servizio, è possibile copiarla e archiviarla in un file JSON. Per copiare la chiave dell'account di servizio:
- In Automation Assembler, selezionare e individuare la distribuzione.
- Nella scheda Topologia, selezionare la chiave dell'account di servizio.
- Aprire la sezione Attributi e individuare la proprietà
private_key_data. - Copiare la chiave dell'account di servizio immediatamente dopo una distribuzione corretta.
Assicurarsi di archiviare la chiave dell'account di servizio in una posizione sicura.
Provisioning di un account di servizio con un bucket di storage
Il modello seguente illustra come eseguire il provisioning di un account di servizio con un bucket di storage. In questo esempio, viene creato un bucket di storage, un account di servizio e una chiave dell'account di servizio.
Per assicurarsi che il bucket di storage sia accessibile solo tramite l'account di servizio associato, utilizzare la proprietà acl nel modello cloud. Questa proprietà viene utilizzata per impostare i controlli di accesso nella risorsa bucket di storage. Per ulteriori informazioni sui controlli di accesso ai bucket, vedere la documentazione REST di Google Cloud.
formatVersion: 1
inputs: {}
resources:
key_owner:
type: Idem.GCP.IAM.SERVICE_ACCOUNT_KEY
dependsOn:
- owner
properties:
name: owner
account: gcp
service_account_id: ${resource.owner.resource_id}
owner:
type: Idem.GCP.IAM.SERVICE_ACCOUNT
properties:
name: sa-1
account: gcp
account_id: sa-bucket-owner
bucket:
type: Idem.GCP.STORAGE.BUCKET
dependsOn:
- owner
properties:
name: bucket-1
account: gcp
acl:
- entity: user-${resource.owner.email}
role: OWNER
