Serviceaccounts configureren

Als cloudbeheerder kunt u de Google Cloud Platform-plug-in (GCP) gebruiken om serviceaccounts te maken met sjablonen in Automation Assembler. U kunt het serviceaccount koppelen aan een GCP-resource om ervoor te zorgen dat de resource alleen toegankelijk is via het serviceaccount.

Belangrijk: VMware Aria Automation ondersteunt momenteel het koppelen van serviceaccounts aan opslagbucketresources.

Eigenschappen voor serviceaccount

De volgende eigenschappen zijn vereist om resources voor een serviceaccount in te richten.


Eigenschap	Beschrijving
`name`	De resourcenaam van het serviceaccount.
`account`	Het GCP-cloudaccount voor accountregio's waarop uw team cloudsjablonen implementeert. Zie Een Google Cloud Platform-cloudaccount maken in VMware Aria Automation voor meer informatie.
`account_id`	De account-id die wordt gebruikt om het e-mailadres van het serviceaccount te genereren. Deze moet uit 6 tot 30 tekens bestaan. U kunt de naam van het serviceaccount na inrichting niet wijzigen.

Eigenschappen voor serviceaccountsleutel

U moet een serviceaccountsleutel maken voor toegang tot de GCP-resource die is gekoppeld aan het serviceaccount.

De volgende eigenschappen zijn vereist voor het inrichten van serviceaccountsleutels.


Eigenschap	Beschrijving
`name`	De resourcenaam van het serviceaccount.
`account`	Het GCP-cloudaccount voor accountregio's waarop uw team cloudsjablonen implementeert. Zie Een Google Cloud Platform-cloudaccount maken in VMware Aria Automation voor meer informatie.
`service_account_id`	De accountresource-id die wordt gebruikt om een servicesleutel te maken.

Nadat u de serviceaccountsleutel heeft gemaakt, kunt u deze kopiëren en in een JSON-bestand opslaan. De serviceaccountsleutel kopiëren:

Selecteer Resources > Implementaties in Automation Assembler en zoek vervolgens naar uw implementatie.
Selecteer de serviceaccountsleutel op het tabblad Topologie.
Open de sectie Kenmerken en zoek naar de eigenschap private_key_data.
Kopieer de serviceaccountsleutel direct na een geslaagde implementatie.
Zorg ervoor dat u de serviceaccountsleutel op een veilige locatie opslaat.

Een serviceaccount inrichten met een opslagbucket

In de volgende sjabloon ziet u hoe u een serviceaccount kunt inrichten met een opslagbucket. In dit voorbeeld maakt u een opslagbucket, een serviceaccount en een serviceaccountsleutel.

Om ervoor te zorgen dat de opslagbucket alleen toegankelijk is via het gekoppelde serviceaccount, gebruikt u de eigenschap acl in de cloudsjabloon. Deze eigenschap wordt gebruikt om toegangscontroles in te stellen voor de resource van de opslagbucket. Zie de documentatie voor Google Cloud REST voor meer informatie over buckettoegangscontroles.

formatVersion: 1
inputs: {}
resources:
  key_owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT_KEY
    dependsOn:
      - owner
    properties:
      name: owner
      account: gcp
      service_account_id: ${resource.owner.resource_id}
  owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT
    properties:
      name: sa-1
      account: gcp
      account_id: sa-bucket-owner
  bucket:
    type: Idem.GCP.STORAGE.BUCKET
    dependsOn:
      - owner
    properties:
      name: bucket-1
      account: gcp
      acl:
        - entity: user-${resource.owner.email}
          role: OWNER