設定Google Cloud NetApp Volumes
建議變更
PDF
NetApp Console需要透過 Google Cloud 服務帳戶取得正確的權限。
完成以下任務,以便 NetApp Console 可以存取您的 Google Cloud 專案。
|
您可以使用 Google Cloud 控制台或 gcloud CLI 來完成這些任務。要使用 gcloud CLI,您必須先"已安裝 Google Cloud CLI"。 |
-
如果您還沒有服務帳戶,請建立一個新的。
-
允許冒充他人存取。
-
在共享項目中授予 IAM 角色。
設定服務帳戶
|
|
Google Cloud 專案權限變更可能需要幾分鐘才能生效。 |
-
在 Google Cloud 控制台中, "前往服務帳戶頁面" 。
-
點擊*選擇項目*,選擇您的項目,然後點擊*開啟*。
-
若要建立服務帳戶,請執行下列操作:
-
按一下*建立服務帳戶*。
-
輸入服務帳戶名稱(友善顯示名稱)和描述。
Google Cloud Console 根據此名稱產生服務帳戶 ID。如有必要,請編輯 ID - 您以後無法變更 ID。
-
點擊“創建並繼續”。
-
從角色清單中,選擇 Google Cloud NetApp Volumes Admin 或 Google Cloud NetApp Volumes Viewer 角色。
-
選擇*繼續*。
或者,您可以使用 gcloud CLI 來指派角色:
gcloud projects add-iam-policy-binding <YOUR_PROJECT_ID> --member="serviceAccount:<YOUR_SA_EMAIL>" --role="roles/netapp.admin" -
授予此服務帳戶模擬存取權限:credentials-sa@wf-production-netapp.iam.gserviceaccount.com。有關詳細信息,請參閱 "建立自簽名 JSON Web Token (JWT)"。
NetApp擁有的服務帳戶用於要求一個短期存取令牌,該令牌允許您以該服務帳戶的身分進行操作,而無需存取其私鑰。
或者,您可以使用 gcloud CLI 授予模擬存取權:
gcloud iam service-accounts add-iam-policy-binding <YOUR_SA_EMAIL> --member="serviceAccount:credentials-sa@wf-production-netapp.iam.gserviceaccount.com" --role="roles/iam.serviceAccountTokenCreator" --project=<YOUR_PROJECT_ID>+
對於測試環境,請使用 credentials-sa@wf-staging-netapp.iam.gserviceaccount.com`而非正式環境服務帳戶。將上述命令中的 `--member`參數值替換為 `serviceAccount:credentials-sa@wf-staging-netapp.iam.gserviceaccount.com。-
點擊頁面底部的「完成」按鈕,然後繼續下一步。
-
共享 VPC
在每個將要使用該服務帳號的其他 Google Cloud 專案中,請執行以下操作:
-
在_IAM 頁面_中,從專案下拉選單中選擇共用 VPC 主機專案。
-
按一下“新增主體”。
-
在「新主體」欄位中,輸入您的服務帳戶的電子郵件地址。
-
從「選擇角色」下拉式選單中,選擇「* Google Cloud NetApp Volumes管理員*」角色。
-
點選“儲存”。
或者,您可以使用 gcloud CLI 來新增 IAM 策略繫結:
gcloud projects add-iam-policy-binding <SHARED_VPC_HOST_PROJECT_ID> --member="serviceAccount:<YOUR_SA_EMAIL>" --role="roles/netapp.admin"
詳細步驟請參考Google Cloud文件:
故障排除
如果遇到錯誤,可能會強制執行 iam.disableCrossProjectServiceAccountUsage 政策。若要解決此問題,請執行下列操作:
-
在 Google Cloud 控制台中,前往 "組織政策頁面"。
-
找到「停用跨專案服務帳戶使用」策略並將其停用。