Configurar o Google Cloud NetApp Volumes
Sugerir alterações
PDFs
O NetApp Console precisa das permissões corretas por meio de uma conta de serviço do Google Cloud.
Conclua as seguintes tarefas para que o NetApp Console possa acessar seu projeto do Google Cloud.
|
Você pode usar o console do Google Cloud ou a CLI do gcloud para essas tarefas. Para usar a CLI do gcloud, você deve ter "instalou a CLI do Google Cloud" primeiro. |
-
Se você ainda não tiver uma conta de serviço, crie uma nova.
-
Conceder acesso para fins de representação indevida.
-
Conceda a função IAM no projeto compartilhado.
Configurar uma conta de serviço
|
|
As alterações nas permissões do projeto do Google Cloud podem levar alguns minutos para entrar em vigor. |
-
No console do Google Cloud, "vá para a página de contas de serviço" .
-
Clique em Selecionar um projeto, escolha seu projeto e clique em Abrir.
-
Para criar uma conta de serviço, faça o seguinte:
-
Clique em Criar conta de serviço.
-
Digite o nome da conta de serviço (nome de exibição amigável) e a descrição.
O Google Cloud Console gera um ID de conta de serviço com base nesse nome. Edite o ID se necessário - você não poderá alterá-lo posteriormente.
-
Clique em Criar e continuar.
-
Na lista de funções, selecione a função Google Cloud NetApp Volumes Admin ou Google Cloud NetApp Volumes Viewer.
-
Selecione Continuar.
Alternativamente, você pode atribuir a função usando a CLI do gcloud:
gcloud projects add-iam-policy-binding <YOUR_PROJECT_ID> --member="serviceAccount:<YOUR_SA_EMAIL>" --role="roles/netapp.admin" -
Conceda acesso de representação a esta conta de serviço: credentials-sa@wf-production-netapp.iam.gserviceaccount.com. Para mais detalhes, veja "Criar um JSON Web Token (JWT) autoassinado" .
A conta de serviço pertencente à NetApp é usada para solicitar um token de acesso de curta duração que permite que você aja como essa conta de serviço sem precisar ter acesso à sua chave privada.
Alternativamente, você pode conceder acesso de representação usando a gcloud CLI:
gcloud iam service-accounts add-iam-policy-binding <YOUR_SA_EMAIL> --member="serviceAccount:credentials-sa@wf-production-netapp.iam.gserviceaccount.com" --role="roles/iam.serviceAccountTokenCreator" --project=<YOUR_PROJECT_ID>+
Para ambientes de teste, use credentials-sa@wf-staging-netapp.iam.gserviceaccount.comem vez da conta de serviço de produção. Substitua o valor do parâmetro--memberno comando acima porserviceAccount:credentials-sa@wf-staging-netapp.iam.gserviceaccount.com.-
Clique em CONCLUÍDO na parte inferior da página e continue para a próxima etapa.
-
VPC compartilhada
Em cada projeto adicional do Google Cloud que utilizará a conta de serviço, faça o seguinte:
-
Na página IAM, selecione o projeto de host da VPC compartilhada no menu suspenso do projeto.
-
Clique em Adicionar Principal.
-
No campo Novos principais, insira o endereço de e-mail da sua conta de serviço.
-
Na lista suspensa Selecionar uma função, escolha a função *Administrador do Google Cloud NetApp Volumes *.
-
Clique em Salvar.
Alternativamente, você pode adicionar a vinculação de política do IAM usando a CLI do gcloud:
gcloud projects add-iam-policy-binding <SHARED_VPC_HOST_PROJECT_ID> --member="serviceAccount:<YOUR_SA_EMAIL>" --role="roles/netapp.admin"
Para etapas detalhadas, consulte a documentação do Google Cloud:
Solução de problemas
Caso ocorra um erro, a política iam.disableCrossProjectServiceAccountUsage poderá ser aplicada. Para corrigir isso, faça o seguinte:
-
No console do Google Cloud, acesse o "Página de políticas da organização" .
-
Localize a política Desativar o uso de contas de serviço entre projetos e desative-a.