Настройка учетных записей службы

Администратор облачных систем может использовать подключаемый модуль Google Cloud Platform (GCP) для создания учетных записей службы на основе шаблонов в Automation Assembler. Учетную запись службы можно присоединить к ресурсу GCP, чтобы обеспечить доступ к ресурсу только через эту учетную запись службы.

Важно!: В настоящее время VMware Aria Automation поддерживает присоединение учетных записей службы к ресурсам контейнера хранилища.

Свойства учетной записи службы

Для подготовки ресурсов учетной записи службы требуются следующие свойства.


Свойство	Описание
`name`	Имя ресурса для учетной записи службы.
`account`	Облачная учетная запись GCP для регионов учетной записи, в которых ваша рабочая группа развертывает облачные шаблоны. Дополнительные сведения см. в разделе Создание облачной учетной записи Google Cloud Platform в VMware Aria Automation.
`account_id`	Идентификатор учетной записи, который используется для создания адреса электронной почты учетной записи службы. Он должен содержать от 6 до 30 символов. После подготовки имя учетной записи службы изменить нельзя.

Свойства ключей учетной записи службы

Для доступа к ресурсу GCP, связанному с этой учетной записью службы, необходимо создать ключ учетной записи службы.

Для подготовки ключей учетной записи службы требуется задать следующие свойства.


Свойство	Описание
`name`	Имя ресурса для учетной записи службы.
`account`	Облачная учетная запись GCP для регионов учетной записи, в которых ваша рабочая группа развертывает облачные шаблоны. Дополнительные сведения см. в разделе Создание облачной учетной записи Google Cloud Platform в VMware Aria Automation.
`service_account_id`	Идентификатор ресурса учетной записи, используемый для создания ключа службы.

После создания ключа учетной записи службы его можно скопировать и сохранить в файле JSON. Чтобы скопировать ключ учетной записи службы, выполните следующие действия.

В Automation Assembler выберите Ресурсы > Развертывания и найдите нужное развертывание.
На вкладке Топология выберите ключ учетной записи службы.
Откройте раздел Атрибуты и найдите свойство private_key_data.
Скопируйте ключ учетной записи службы сразу после успешного развертывания.
Убедитесь, что ключ учетной записи службы будет храниться в безопасном месте.

Подготовка учетной записи службы с использованием контейнера хранилища

В следующем шаблоне показано, как можно подготовить учетную запись службы с помощью контейнера хранилища. В этом примере создаются контейнер хранилища, учетная запись службы и ее ключ.

Чтобы доступ к контейнеру хранилища можно было получить только через связанную учетную запись службы, используйте свойство acl в облачном шаблоне. Это свойство используется для настройки элементов контроля доступа для ресурса контейнера хранилища. Дополнительные сведения о элементах контроля доступа к контейнеру см. в документации по Google Cloud REST.

formatVersion: 1
inputs: {}
resources:
  key_owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT_KEY
    dependsOn:
      - owner
    properties:
      name: owner
      account: gcp
      service_account_id: ${resource.owner.resource_id}
  owner:
    type: Idem.GCP.IAM.SERVICE_ACCOUNT
    properties:
      name: sa-1
      account: gcp
      account_id: sa-bucket-owner
  bucket:
    type: Idem.GCP.STORAGE.BUCKET
    dependsOn:
      - owner
    properties:
      name: bucket-1
      account: gcp
      acl:
        - entity: user-${resource.owner.email}
          role: OWNER