公雲平台帳號授權


最後更新日期:2022.4.20

適用服務:AWS / Azure / GCP


For AWS:

啟動帳號授權機制為透過建立AWS IAM(Identity and Access Management)授權角色的方式以允許中華電信多雲服務存取託管客戶的AWS資源並執行各項託管功能。

操作步驟

  • 授權: 進入我的帳戶設定頁面後,於公雲平台帳號授權列表中選取欲啟動授權的AWS帳號後,點選授權

    依照畫面指示完成啟動授權的兩步驟:

    cross account role -1

    1. 建立IAM授權角色:自動連結至AWS的CloudFormation頁面,透過預先定義的授權角色範本可快速建立堆疊。

      cross account role -2

    2. 回填授權角色ARN(Amazon Resource Name)資訊:堆疊建立完成後,將Outputs中CrossAccountRole的值複製下來並貼至啟動授權視窗中的授權角色ARN欄位。

      cross account role -3 cross account role -4

  • 狀態為已授權,則會有授權角色 ARN,後面會有取消授權的button可以取消授權。 myAccount-05_1.png

For Azure:

  • 會列出在擁有的訂閱訂閱狀態授權狀態

  • 狀態為未授權,後面會有授權的button可以點選進行授權操作。

  • 能夠進行新增訂閱,選取所屬公雲平台帳號和填寫名稱完成訂閱的新增。

    myAccount-05_2.png

  • 新增的訂閱,預設於Azure Portal無法看見。

    myAccount-05-azure-subscription-1.png

  • 使用Global Admin權限之Azure AD User登入後,於Azure AD Service內進行提升全域資源管理權限操作。

    myAccount-05-azure-subscription-2.png

  • 提升權限後,始可獲得訂閱之User Access Administrator操作權限。(須等待一段時間,可能得重新登入,再進入Azure portal查詢)

    myAccount-05-azure-subscription-3.png

  • 針對訂閱做後續Access control操作後,建議將全域資源管理權限關閉。

For Gcp:

  • 若要啟用最佳化建議等功能,您必須在 Google Cloud Platform 中建立服務帳戶並啟用API,將私密金鑰下載為 JSON 檔案上傳至多雲管理服務平台。
  • 若要建立服務帳戶,您至少必須具有服務帳戶管理員角色 (roles/iam.serviceAccountAdmin)
  • 若要啟用API,您至少必須具有服務使用情形管理員角色 (roles/serviceusage.serviceUsageAdmin)
  • 若服務帳戶所在專案與要啟用最佳化建議等功能的專案不同,請確定每個專案都有啟用API

    建立服務帳戶

  • 按此步驟操作將於GCP專案下建立服務帳戶。
  • 以下說明透過Cloud Shell操作建立服務帳戶。初次使用Cloud Shell時跳出授權視窗請點選Authorize
操作步驟
  1. 選擇欲建立服務帳戶的專案
    gcloud projects list
    gcloud config set project YOUR_PROJECT_ID
    
  2. 啟用以下API
    • IAM API
    • Cloud Billing API
    • Deployment Manager API
    • Cloud Resource Manager API
    • Cloud Assets Inventory API
    • Recommender API

指令:gcloud services enable SERVICE_NAME

gcloud services enable iam.googleapis.com
gcloud services enable deploymentmanager.googleapis.com
gcloud services enable cloudresourcemanager.googleapis.com
gcloud services enable cloudasset.googleapis.com
gcloud services enable recommender.googleapis.com
gcloud services enable cloudbilling.googleapis.com
  1. 建立服務帳戶

3.1 授予 Deployment Manager 可以設置 IAM 政策的權限。

指令:gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member serviceAccount:[PROJECT_NUMBER]@cloudservices.gserviceaccount.com --role roles/owner

PROJECT_ID=$(gcloud config get-value project)
PROJECT_NUMBER=$(gcloud projects list --filter="$(gcloud config get-value project)" --format="value(PROJECT_NUMBER)")
gcloud projects add-iam-policy-binding $PROJECT_ID \
 --member serviceAccount:$PROJECT_NUMBER@cloudservices.gserviceaccount.com  --role roles/owner

3.2 執行綁定Role與產生Private Key腳本

  • 於多雲服務平台之GCP 服務帳戶與可存取專案清單點選新增服務帳戶按鈕,下載腳本。
  • 開啟Cloud Shell,點選右方圖示,找到Upload,將mcb-gcp-auth-create.zip上傳

  • 執行以下命令,其中YOUR_SERVICE_ACCOUNT_ID請自行命名。
unzip mcb-gcp-auth-create.zip
cd mcb-gcp-auth-create
. mcb-gcp-auth.sh [YOUR_SERVICE_ACCOUNT_ID]

3.3 下載密鑰

  • 指令執行完成後,彈出下載視窗請按 Download 下載將金鑰保存至電腦中

  1. 回多雲服務將金鑰檔案上傳即可完成授權。

加入可存取專案

  • 按此步驟操作將GCP專案的角色綁定至服務帳戶
操作步驟
  1. 於多雲服務平台之GCP 服務帳戶與可存取專案清單點選加入授權專案按鈕,下載腳本。
  2. 開啟Cloud Shell,點選右方圖示,找到Upload,將mcb-gcp-auth-bind.zip上傳
  3. 執行命令
  4. 其中YOUR_SERVICE_ACCOUNT請填入已建立好服務帳號。
  5. 服務帳戶格式為 SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com
unzip mcb-gcp-auth-bind.zip
cd mcb-gcp-auth-bind
. mcb-gcp-auth.sh [YOUR_SERVICE_ACCOUNT]
  1. 回到多雲服務點選刷新專案列表

results matching ""

    No results matching ""