클라우드 관리자는 GCP(Google Cloud Platform) 플러그인을 활용하여 Automation Assembler에서 템플릿을 사용하여 서비스 계정을 생성할 수 있습니다. 서비스 계정을 GCP 리소스에 연결하여 서비스 계정을 통해서만 리소스에 액세스할 수 있도록 할 수 있습니다.
서비스 계정 속성
서비스 계정 리소스를 프로비저닝하려면 다음 속성이 필요합니다.
| 속성 | 설명 |
|---|---|
name |
서비스 계정의 리소스 이름입니다. |
account |
팀에서 클라우드 템플릿을 배포하는 계정 지역에 대한 GCP 클라우드 계정입니다. 자세한 내용은 VMware Aria Automation에서 Google Cloud Platform 클라우드 계정 생성을 참조하십시오. |
account_id |
서비스 계정 이메일 주소를 생성하는 데 사용되는 계정 ID입니다. 6~30자 사이여야 합니다. 프로비저닝 후에는 서비스 계정 이름을 변경할 수 없습니다. |
서비스 계정 키 속성
서비스 계정과 연결된 GCP 리소스에 액세스하려면 서비스 계정 키를 생성해야 합니다.
서비스 계정 키를 프로비저닝하려면 다음 속성이 필요합니다.
| 속성 | 설명 |
|---|---|
name |
서비스 계정의 리소스 이름입니다. |
account |
팀에서 클라우드 템플릿을 배포하는 계정 지역에 대한 GCP 클라우드 계정입니다. 자세한 내용은 VMware Aria Automation에서 Google Cloud Platform 클라우드 계정 생성을 참조하십시오. |
service_account_id |
서비스 키를 생성하는 데 사용되는 계정 리소스 ID입니다. |
서비스 계정 키를 성공적으로 생성한 후 복사하여 JSON 파일에 저장할 수 있습니다. 서비스 계정 키를 복사하려면 다음을 수행합니다.
- Automation Assembler에서 를 선택하고 배포를 찾습니다.
- 토폴로지 탭에서 서비스 계정 키를 선택합니다.
- 특성 섹션을 열고
private_key_data속성을 찾습니다. - 배포가 성공한 직후에 서비스 계정 키를 복사합니다.
서비스 계정 키를 안전한 위치에 저장해야 합니다.
스토리지 버킷으로 서비스 계정 프로비저닝
다음 템플릿은 스토리지 버킷을 사용하여 서비스 계정을 프로비저닝하는 방법을 보여줍니다. 이 예에서는 스토리지 버킷, 서비스 계정 및 서비스 계정 키를 생성합니다.
연결된 서비스 계정을 통해서만 스토리지 버킷에 액세스할 수 있도록 하려면 클라우드 템플릿에서 acl 속성을 사용합니다. 이 속성은 스토리지 버킷 리소스에 대한 액세스 제어를 설정하는 데 사용됩니다. 버킷 액세스 제어에 대한 자세한 내용은 Google Cloud REST 설명서를 참조하십시오.
formatVersion: 1
inputs: {}
resources:
key_owner:
type: Idem.GCP.IAM.SERVICE_ACCOUNT_KEY
dependsOn:
- owner
properties:
name: owner
account: gcp
service_account_id: ${resource.owner.resource_id}
owner:
type: Idem.GCP.IAM.SERVICE_ACCOUNT
properties:
name: sa-1
account: gcp
account_id: sa-bucket-owner
bucket:
type: Idem.GCP.STORAGE.BUCKET
dependsOn:
- owner
properties:
name: bucket-1
account: gcp
acl:
- entity: user-${resource.owner.email}
role: OWNER
