GCP 公雲平台帳號授權

最後更新日期:2024.03.19

功能說明

  • 若要啟用最佳化建議等功能,您必須在 Google Cloud Platform 中建立服務帳戶並啟用API,將私密金鑰下載為 JSON 檔案上傳至多雲管理服務平台。
  • 若要建立服務帳戶,您至少必須具有服務帳戶管理員角色 (roles/iam.serviceAccountAdmin)
  • 若要啟用API,您至少必須具有服務使用情形管理員角色 (roles/serviceusage.serviceUsageAdmin)
  • 若服務帳戶所在專案與要啟用最佳化建議等功能的專案不同,請確定每個專案都有啟用API

建立服務帳戶

  • 按此步驟操作將於GCP專案下建立服務帳戶。
  • 以下說明透過Cloud Shell操作建立服務帳戶。初次使用Cloud Shell時跳出授權視窗請點選Authorize

操作步驟

  1. 選擇欲建立服務帳戶的專案
gcloud projects list
gcloud config set project YOUR_PROJECT_ID
  1. 啟用以下API
    • IAM API
    • Cloud Billing API
    • Deployment Manager API
    • Cloud Resource Manager API
    • Cloud Assets Inventory API
    • Recommender API

指令:gcloud services enable SERVICE_NAME

gcloud services enable iam.googleapis.com
gcloud services enable deploymentmanager.googleapis.com
gcloud services enable cloudresourcemanager.googleapis.com
gcloud services enable cloudasset.googleapis.com
gcloud services enable recommender.googleapis.com
gcloud services enable cloudbilling.googleapis.com
  1. 建立服務帳戶
    • 授予 Deployment Manager 可以設置 IAM 政策的權限。

指令:gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member serviceAccount:[PROJECT_NUMBER]@cloudservices.gserviceaccount.com --role roles/owner

PROJECT_ID=$(gcloud config get-value project)
PROJECT_NUMBER=$(gcloud projects list --filter="$(gcloud config get-value project)" --format="value(PROJECT_NUMBER)")
gcloud projects add-iam-policy-binding $PROJECT_ID \
 --member serviceAccount:$PROJECT_NUMBER@cloudservices.gserviceaccount.com  --role roles/owner

  • 執行綁定Role與產生Private Key腳本

    • 於多雲服務平台之GCP 服務帳戶與可存取專案清單點選新增服務帳戶按鈕,下載腳本。
    • 開啟Cloud Shell,點選右方圖示,找到Upload,將mcb-gcp-auth-create.zip上傳

    • 執行以下命令,其中YOUR_SERVICE_ACCOUNT_ID請自行命名。
      unzip mcb-gcp-auth-create.zip
cd mcb-gcp-auth-create
. mcb-gcp-auth.sh [YOUR_SERVICE_ACCOUNT_ID]

  • 下載密鑰

    • 指令執行完成後,彈出下載視窗請按 Download 下載將金鑰保存至電腦中

  1. 回多雲服務將金鑰檔案上傳即可完成授權。

加入可存取專案

  • 按此步驟操作將GCP專案的角色綁定至服務帳戶

  • 操作步驟

    1. 於多雲服務平台之GCP 服務帳戶與可存取專案清單點選加入授權專案按鈕,下載腳本。
    2. 開啟Cloud Shell,點選右方圖示,找到Upload,將mcb-gcp-auth-bind.zip上傳

    3. 執行命令

      • 其中YOUR_SERVICE_ACCOUNT請填入已建立好服務帳號。
      • 服務帳戶格式為 SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com
        unzip mcb-gcp-auth-bind.zip
cd mcb-gcp-auth-bind
. mcb-gcp-auth.sh [YOUR_SERVICE_ACCOUNT]

    4. 回到多雲服務點選刷新專案列表

results matching ""

    No results matching ""