身為雲端管理員,您可以利用 Google Cloud Platform (GCP) 外掛程式在 Automation Assembler 中使用範本建立服務帳戶。您可以將服務帳戶連結至 GCP 資源,以確保只能透過服務帳戶存取該資源。
重要:
VMware Aria Automation 目前支援將服務帳戶連結到儲存區值區資源。
服務帳戶內容
佈建服務帳戶資源需要以下內容。
| 內容 | 說明 |
|---|---|
name |
服務帳戶的資源名稱。 |
account |
您的團隊在其中部署雲端範本的帳戶區域的 GCP 雲端帳戶。 如需詳細資訊,請參閱〈在 VMware Aria Automation 中建立 Google Cloud Platform 雲端帳戶〉。 |
account_id |
用於產生服務帳戶電子郵件地址的帳戶識別碼。它必須介於 6 到 30 個字元之間。佈建後,無法變更服務帳戶名稱。 |
服務帳戶金鑰內容
您必須建立服務帳戶金鑰,才能存取與服務帳戶相關聯的 GCP 資源。
佈建服務帳戶金鑰需要以下內容。
| 內容 | 說明 |
|---|---|
name |
服務帳戶的資源名稱。 |
account |
您的團隊在其中部署雲端範本的帳戶區域的 GCP 雲端帳戶。 如需詳細資訊,請參閱〈在 VMware Aria Automation 中建立 Google Cloud Platform 雲端帳戶〉。 |
service_account_id |
用於建立服務金鑰的帳戶資源識別碼。 |
成功建立服務帳戶金鑰後,您可以將其複製並儲存在 JSON 檔案中。複製服務帳戶金鑰:
- 在 Automation Assembler 中,選取,然後找到您的部署。
- 在拓撲索引標籤上,選取服務帳戶金鑰。
- 開啟屬性區段,然後找到
private_key_data內容。 - 成功部署後立即複製服務帳戶金鑰。
確保將服務帳戶金鑰儲存在安全位置。
使用儲存區值區佈建服務帳戶
下列範本顯示如何使用儲存值區佈建服務帳戶。在此範例中,您可以建立儲存值區、服務帳戶和服務帳戶金鑰。
若要確保只能透過關聯的服務帳戶存取儲存區值區,需要在雲端範本中使用 acl 內容。此內容用於設定儲存區值區資源的存取控制。如需有關值區存取控制的詳細資訊,請參閱 Google Cloud REST 說明文件。
formatVersion: 1
inputs: {}
resources:
key_owner:
type: Idem.GCP.IAM.SERVICE_ACCOUNT_KEY
dependsOn:
- owner
properties:
name: owner
account: gcp
service_account_id: ${resource.owner.resource_id}
owner:
type: Idem.GCP.IAM.SERVICE_ACCOUNT
properties:
name: sa-1
account: gcp
account_id: sa-bucket-owner
bucket:
type: Idem.GCP.STORAGE.BUCKET
dependsOn:
- owner
properties:
name: bucket-1
account: gcp
acl:
- entity: user-${resource.owner.email}
role: OWNER
