Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Cette page explique comment configurer l'accès des utilisateurs à vos Environnement Cloud Composer avec fédération des identités des employés
À propos de la fédération des identités des employés dans Cloud Composer
La fédération des identités des employés vous permet d'utiliser un fournisseur d'identité externe (IdP) pour authentifier et autoriser des employés, c'est-à-dire un groupe d'utilisateurs, comme collaborateurs, partenaires et sous-traitants) grâce à IAM, les utilisateurs peuvent accéder aux services Google Cloud. Pour en savoir plus sur les effectifs fédération d'identité, consultez Fédération des identités des employés.
Si la fédération des identités des employés est configurée dans votre projet, vous pouvez accéder votre environnement de différentes manières:
- Page Cloud Composer dans la console Google Cloud
- Interface utilisateur d'Airflow
- Google Cloud CLI, y compris l'exécution de commandes de CLI Airflow
- API Cloud Composer
- API REST Airflow
Avant de commencer
Tous les environnements Cloud Composer créés à partir de la version 2.1.11 et version d'Airflow Prise en charge 2.4.3 la fédération des identités des employés. Vous n'avez pas besoin de configurer de manière spécifique pour faciliter la fédération des identités des employés.
Environnements créés avant la version 2.1.11 et version d'Airflow 2.4.3 et versions ultérieures ne sont pas compatibles avec la fédération des identités des employés. Vous pouvez Vérifiez si votre environnement est compatible avec la fédération des identités des employés.
Limites de Cloud Storage pour la fédération des identités des employés au bucket de l'environnement. En particulier, vous devez activer l'accès uniforme au niveau du bucket. dans le bucket de l'environnement pour permettre aux identités externes d'importer leurs DAG vers ce bucket.
Les e-mails envoyés depuis Airflow n'incluent que le champ URL de l'interface utilisateur Airflow pour les comptes Google En effet, les identités externes ne peuvent accéder à l'interface utilisateur d'Airflow que par le biais de cette interface pour les identités externes, le lien doit être ajusté (remplacé par l'URL pour les identités externes).
Configurer l'accès à votre environnement avec la fédération des identités des employés
Cette section décrit les étapes à suivre pour configurer l'accès des identités externes à votre environnement Cloud Composer.
Configurer votre fournisseur d'identité
Configurez la fédération des identités des employés pour votre fournisseur d'identité en procédant comme suit : en suivant les instructions du guide Configurer la fédération des identités des employés.
Attribuer des rôles IAM à des identités externes
Dans Identity and Access Management, attribuez des rôles IAM à des ensembles afin qu'elles puissent accéder à votre environnement et interagir avec celui-ci:
Pour obtenir la liste des rôles spécifiques à Cloud Composer, consultez Accordez des rôles à des utilisateurs. Par exemple, Utilisateur de l'environnement et lecteur des objets Storage (
composer.environmentAndStorageObjectViewer
) permet à un utilisateur afficher les environnements, accéder à l'interface utilisateur d'Airflow, afficher et déclencher des DAG l'UI du DAG, et afficher les objets dans les buckets de l'environnement.Pour savoir comment attribuer ces rôles à des utilisateurs externes, consultez Accordez des rôles IAM aux comptes principaux.
Pour savoir comment représenter des identités externes dans IAM des règles d'administration, consultez Représentez les utilisateurs du pool d'employés dans les stratégies IAM.
Vérifier que les nouveaux utilisateurs reçoivent les rôles Airflow appropriés dans le contrôle des accès à l'interface utilisateur Airflow
Cloud Composer gère les utilisateurs Airflow pour les identités externes de la même manière que pour les utilisateurs de comptes Google. Au lieu d'une adresse e-mail, identifiant principal est utilisé. Lorsqu'une identité externe accède à l'interface utilisateur d'Airflow pour la première fois, une L'utilisateur Airflow est automatiquement enregistré dans l'accès basé sur les rôles Airflow système de contrôle avec le rôle par défaut.
Vérifier que les nouveaux utilisateurs reçoivent les rôles Airflow appropriés dans Contrôle des accès à l'interface utilisateur Airflow. Deux possibilités s'offrent à vous :
- Permettre aux identités externes de recevoir le rôle par défaut après avoir accédé à Airflow pour la première fois. Si nécessaire, les administrateurs Airflow peuvent ce rôle à un autre.
Préenregistrer des identités externes avec un ensemble en ajoutant les enregistrements utilisateur Airflow contenant le nom d'utilisateur d'adresse e-mail avec les identifiants de compte principal. De cette façon, obtiennent le rôle que vous leur avez attribué, et non le rôle par défaut.
Vérifier si un environnement est compatible avec la fédération des identités des employés
Pour vérifier si votre environnement est compatible avec la fédération des identités des employés, exécutez la à l'aide de la commande Google Cloud CLI suivante. Si le résultat affiche un URI, votre prend en charge la fédération des identités des employés.
gcloud composer environments describe ENVIRONMENT_NAME \
--location LOCATION \
--format="value(config.airflowByoidUri)"
Remplacez :
ENVIRONMENT_NAME
par le nom de l'environnement.LOCATION
par la région dans laquelle se trouve l'environnement.
Exemple :
gcloud composer environments describe example-environment \
--location us-central1 \
--format="value(config.airflowByoidUri)"
Accéder à la page Cloud Composer dans la console Google Cloud
Console de fédération des identités des employés Google Cloud permet d'accéder à la page Cloud Composer.
Sur la page Composer de la fédération des identités des employés Google Cloud vous pouvez accéder à l'UI pour gérer les environnements, Journaux Cloud Composer, surveillance et UI du DAG
Tous les liens vers l'interface utilisateur Airflow dans la console fédérée pointent vers cette interface pour les identités externes.
Environnements dans des versions antérieures à 2.1.11 et/ou versions d'Airflow antérieures que ceux de la version 2.4.3 peuvent avoir leur interface utilisateur Airflow liens marqués comme "Non disponible". Cela indique que cet environnement prendre en charge les utilisateurs de la fédération des identités des employés dans l'interface utilisateur d'Airflow. Interface utilisateur d'Airflow n'est accessible qu'avec un compte Google.
Accéder à l'interface utilisateur d'Airflow
Les environnements Cloud Composer comportent deux URL pour l'interface utilisateur d'Airflow: une pour les comptes Google et une autre pour les identités externes. Identités externes doit accéder à l'interface utilisateur d'Airflow via l'URL des identités externes.
L'URL des identités externes est
https://<UNIQUE_ID>.composer.byoid.googleusercontent.com
L'URL des comptes Google est
https://<UNIQUE_ID>.composer.googleusercontent.com
.
Seuls les utilisateurs authentifiés avec des identités externes peuvent accéder à l'URL pour les identités externes. Si un utilisateur consulte l'URL pour des identités externes lorsqu'il n'est pas connecté, il est d'abord redirigé vers le portail d'authentification dans lequel le nom du fournisseur de pool d'employés est spécifié, redirigé vers son fournisseur d'identité pour se connecter, redirigé vers l'interface utilisateur Airflow de l'environnement.
Accéder à l'UI du DAG dans la console Google Cloud
L'interface utilisateur du DAG est disponible pour les utilisateurs disposant d'une identité externe dans la console fédérée. Vous pouvez contrôler les accès à l'aide de stratégies IAM.
Accès basé sur les rôles Airflow dans les environnements dotés d'une identité de personnel complète la compatibilité de la fédération est également prise en compte et peut être utilisée pour limiter Les DAG sont visibles par les utilisateurs individuels en configurant des rôles, comme décrit dans Utiliser le contrôle des accès à l'interface utilisateur d'Airflow
Accéder à la Google Cloud CLI
Pour accéder à votre environnement via la Google Cloud CLI, les identités externes doivent effectuer les opérations suivantes:
- Connectez-vous avec la Google Cloud CLI à l'aide d'une identité externe.
- Exécutez les commandes
gcloud composer environments
.
Accéder à l'API Cloud Composer
L'API Cloud Composer peut être utilisée avec des identités externes pour gérer tous les environnements Composer avec les méthodes d'authentification compatibles telles que les jetons OAuth.
API REST Airflow
L'API REST Airflow est disponible à l'adresse point de terminaison pour les identités externes disposant méthodes d'authentification comme les jetons OAuth.
Pour obtenir l'URL du point de terminaison des identités externes de votre environnement,
utilisez la commande gcloud composer environments describe
, comme indiqué dans
Vérifier si un environnement est compatible avec la fédération des identités des employés
.
Étape suivante
- Contrôle des accès avec IAM
- Utiliser le contrôle des accès à l'interface utilisateur d'Airflow
- Accéder à la CLI Airflow
- Accéder à l'API REST Airflow