GCP 公雲平台帳號授權
最後更新日期:2024.03.19
功能說明
- 若要啟用最佳化建議等功能,您必須在 Google Cloud Platform 中建立服務帳戶並啟用API,將私密金鑰下載為 JSON 檔案上傳至多雲管理服務平台。
- 若要建立服務帳戶,您至少必須具有服務帳戶管理員角色 (roles/iam.serviceAccountAdmin)
- 若要啟用API,您至少必須具有服務使用情形管理員角色 (roles/serviceusage.serviceUsageAdmin)
- 若服務帳戶所在專案與要啟用最佳化建議等功能的專案不同,請確定每個專案都有啟用API
建立服務帳戶
- 按此步驟操作將於GCP專案下建立服務帳戶。
- 以下說明透過Cloud Shell操作建立服務帳戶。初次使用Cloud Shell時跳出授權視窗請點選Authorize。
操作步驟
- 選擇欲建立服務帳戶的專案
gcloud projects list
gcloud config set project YOUR_PROJECT_ID
- 啟用以下API
- IAM API
- Cloud Billing API
- Deployment Manager API
- Cloud Resource Manager API
- Cloud Assets Inventory API
- Recommender API
指令:gcloud services enable SERVICE_NAME
gcloud services enable iam.googleapis.com
gcloud services enable deploymentmanager.googleapis.com
gcloud services enable cloudresourcemanager.googleapis.com
gcloud services enable cloudasset.googleapis.com
gcloud services enable recommender.googleapis.com
gcloud services enable cloudbilling.googleapis.com
- 建立服務帳戶
- 授予 Deployment Manager 可以設置 IAM 政策的權限。
指令:gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member serviceAccount:[PROJECT_NUMBER]@cloudservices.gserviceaccount.com --role roles/owner
PROJECT_ID=$(gcloud config get-value project)
PROJECT_NUMBER=$(gcloud projects list --filter="$(gcloud config get-value project)" --format="value(PROJECT_NUMBER)")
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member serviceAccount:$PROJECT_NUMBER@cloudservices.gserviceaccount.com --role roles/owner
執行綁定Role與產生Private Key腳本
- 於多雲服務平台之GCP 服務帳戶與可存取專案清單點選新增服務帳戶按鈕,下載腳本。
- 開啟Cloud Shell,點選右方圖示,找到Upload,將mcb-gcp-auth-create.zip上傳
- 執行以下命令,其中YOUR_SERVICE_ACCOUNT_ID請自行命名。
unzip mcb-gcp-auth-create.zip cd mcb-gcp-auth-create . mcb-gcp-auth.sh [YOUR_SERVICE_ACCOUNT_ID]
下載密鑰
- 指令執行完成後,彈出下載視窗請按 Download 下載將金鑰保存至電腦中
- 回多雲服務將金鑰檔案上傳即可完成授權。
加入可存取專案
- 按此步驟操作將GCP專案的角色綁定至服務帳戶
操作步驟
- 於多雲服務平台之GCP 服務帳戶與可存取專案清單點選加入授權專案按鈕,下載腳本。
- 開啟Cloud Shell,點選右方圖示,找到Upload,將mcb-gcp-auth-bind.zip上傳
執行命令
- 其中YOUR_SERVICE_ACCOUNT請填入已建立好服務帳號。
- 服務帳戶格式為 SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com
unzip mcb-gcp-auth-bind.zip cd mcb-gcp-auth-bind . mcb-gcp-auth.sh [YOUR_SERVICE_ACCOUNT]
回到多雲服務點選刷新專案列表