公雲平台帳號授權
最後更新日期:2022.4.20
適用服務:AWS / Azure / GCP
For AWS:
啟動帳號授權機制為透過建立AWS IAM(Identity and Access Management)授權角色的方式以允許中華電信多雲服務存取託管客戶的AWS資源並執行各項託管功能。
操作步驟
授權: 進入我的帳戶設定頁面後,於公雲平台帳號授權列表中選取欲啟動授權的AWS帳號後,點選授權。
依照畫面指示完成啟動授權的兩步驟:
建立IAM授權角色:自動連結至AWS的CloudFormation頁面,透過預先定義的授權角色範本可快速建立堆疊。
回填授權角色ARN(Amazon Resource Name)資訊:堆疊建立完成後,將Outputs中CrossAccountRole的值複製下來並貼至啟動授權視窗中的授權角色ARN欄位。
狀態為已授權,則會有授權角色 ARN,後面會有取消授權的button可以取消授權。
For Azure:
會列出在擁有的訂閱的訂閱狀態和授權狀態。
狀態為未授權,後面會有授權的button可以點選進行授權操作。
能夠進行新增訂閱,選取所屬公雲平台帳號和填寫名稱完成訂閱的新增。
新增的訂閱,預設於Azure Portal無法看見。
使用Global Admin權限之Azure AD User登入後,於Azure AD Service內進行提升全域資源管理權限操作。
提升權限後,始可獲得訂閱之User Access Administrator操作權限。(須等待一段時間,可能得重新登入,再進入Azure portal查詢)
針對訂閱做後續Access control操作後,建議將全域資源管理權限關閉。
For Gcp:
- 若要啟用最佳化建議等功能,您必須在 Google Cloud Platform 中建立服務帳戶並啟用API,將私密金鑰下載為 JSON 檔案上傳至多雲管理服務平台。
- 若要建立服務帳戶,您至少必須具有服務帳戶管理員角色 (roles/iam.serviceAccountAdmin)
- 若要啟用API,您至少必須具有服務使用情形管理員角色 (roles/serviceusage.serviceUsageAdmin)
- 若服務帳戶所在專案與要啟用最佳化建議等功能的專案不同,請確定每個專案都有啟用API
建立服務帳戶
- 按此步驟操作將於GCP專案下建立服務帳戶。
- 以下說明透過Cloud Shell操作建立服務帳戶。初次使用Cloud Shell時跳出授權視窗請點選Authorize。
操作步驟
- 選擇欲建立服務帳戶的專案
gcloud projects list gcloud config set project YOUR_PROJECT_ID
- 啟用以下API
- IAM API
- Cloud Billing API
- Deployment Manager API
- Cloud Resource Manager API
- Cloud Assets Inventory API
- Recommender API
指令:gcloud services enable SERVICE_NAME
gcloud services enable iam.googleapis.com
gcloud services enable deploymentmanager.googleapis.com
gcloud services enable cloudresourcemanager.googleapis.com
gcloud services enable cloudasset.googleapis.com
gcloud services enable recommender.googleapis.com
gcloud services enable cloudbilling.googleapis.com
- 建立服務帳戶
3.1 授予 Deployment Manager 可以設置 IAM 政策的權限。
指令:gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member serviceAccount:[PROJECT_NUMBER]@cloudservices.gserviceaccount.com --role roles/owner
PROJECT_ID=$(gcloud config get-value project)
PROJECT_NUMBER=$(gcloud projects list --filter="$(gcloud config get-value project)" --format="value(PROJECT_NUMBER)")
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member serviceAccount:$PROJECT_NUMBER@cloudservices.gserviceaccount.com --role roles/owner
3.2 執行綁定Role與產生Private Key腳本
- 於多雲服務平台之GCP 服務帳戶與可存取專案清單點選新增服務帳戶按鈕,下載腳本。
- 開啟Cloud Shell,點選右方圖示,找到Upload,將mcb-gcp-auth-create.zip上傳
- 執行以下命令,其中YOUR_SERVICE_ACCOUNT_ID請自行命名。
unzip mcb-gcp-auth-create.zip
cd mcb-gcp-auth-create
. mcb-gcp-auth.sh [YOUR_SERVICE_ACCOUNT_ID]
3.3 下載密鑰
- 指令執行完成後,彈出下載視窗請按 Download 下載將金鑰保存至電腦中
- 回多雲服務將金鑰檔案上傳即可完成授權。
加入可存取專案
- 按此步驟操作將GCP專案的角色綁定至服務帳戶
操作步驟
- 於多雲服務平台之GCP 服務帳戶與可存取專案清單點選加入授權專案按鈕,下載腳本。
- 開啟Cloud Shell,點選右方圖示,找到Upload,將mcb-gcp-auth-bind.zip上傳
- 執行命令
- 其中YOUR_SERVICE_ACCOUNT請填入已建立好服務帳號。
- 服務帳戶格式為 SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com
unzip mcb-gcp-auth-bind.zip
cd mcb-gcp-auth-bind
. mcb-gcp-auth.sh [YOUR_SERVICE_ACCOUNT]
- 回到多雲服務點選刷新專案列表