Cloud Composer 1 est en mode post-maintenance. Google ne publie aucune autre mise à jour de Cloud Composer 1, y compris les nouvelles versions d'Airflow, les corrections de bugs et les mises à jour de sécurité. Nous vous recommandons de planifier la migration vers Cloud Composer 2.

Cette page a été traduite par l'API Cloud Translation.

Accéder aux ressources d'un autre projet

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Cette page explique comment accéder aux ressources situées dans un autre que votre environnement Cloud Composer.

Nous vous recommandons d'accéder aux ressources d'autres projets Google Cloud comme suit :

Dans vos DAG, utilisez les connexions par défaut préconfigurées dans votre environnement.

Par exemple, la connexion google_cloud_default est utilisée par de nombreux des opérateurs Google Cloud. Elle est automatiquement configurée créer un environnement.
Accordez des autorisations et des rôles IAM supplémentaires au compte de service de votre environnement afin qu'il puisse accéder aux ressources d'un autre projet.

Déterminer le compte de service de votre environnement

Pour déterminer le compte de service de votre environnement:

Console

Dans la console Google Cloud, accédez à la page Environnements.

Accéder à la page Environnements
Dans la liste des environnements, cliquez sur le nom de votre environnement. La page Détails de l'environnement s'ouvre.
Accédez à l'onglet Configuration de l'environnement.
Le compte de service de votre environnement est listé le champ Compte de service.

La valeur est une adresse e-mail, par exemple service-account-name@example-project.iam.gserviceaccount.com.

gcloud

gcloud composer environments describe ENVIRONMENT_NAME \
    --location LOCATION \
    --format="get(config.nodeConfig.serviceAccount)"

La valeur est une adresse e-mail, telle que service-account-name@example-project.iam.gserviceaccount.com

Accorder des rôles et des autorisations IAM pour accéder aux ressources d'un autre projet

Le compte de service de votre environnement nécessite des autorisations pour accéder aux ressources d'un autre projet. Ces rôles et autorisations peuvent varier en fonction de la ressource à laquelle vous souhaitez accéder.

Accéder à une ressource spécifique

Nous vous recommandons d'accorder des rôles et des autorisations pour des ressources spécifiques, bucket Cloud Storage unique situé dans un projet différent. Dans ce vous utilisez un accès basé sur les ressources avec des liaisons de rôles conditionnelles.

Pour accéder à une ressource spécifique :

Suivez le guide Configurer un accès basé sur les ressources.
Lorsque vous attribuez des rôles et des autorisations, spécifiez le compte de service de votre environnement en tant qu'entité principale.

Accéder à un type de ressource

Vous pouvez également attribuer des rôles et des autorisations en fonction du type de ressource, par exemple tous les buckets Cloud Storage situés dans un autre projet.

Pour accéder à un type de ressource:

Suivez le Guide Gérer l'accès à d'autres ressources.
Lorsque vous attribuez des rôles et des autorisations, spécifiez le compte de service de votre environnement comme principal.

Une fois que vous avez accordé les autorisations et les rôles requis, vous pouvez accéder aux ressources dans un autre projet avec les mêmes connexions Airflow par défaut que vous utilisez pour accéder aux ressources du projet dans lequel se trouve votre environnement localisés.