Mengakses resource di project lain

Cloud Composer 1 | Cloud Composer 2

Halaman ini menjelaskan cara mengakses resource yang ada di project Google Cloud yang berbeda dengan lingkungan Cloud Composer Anda.

Sebaiknya akses resource di project Google Cloud lainnya dengan cara berikut:

  1. Di DAG, gunakan koneksi default yang telah dikonfigurasi sebelumnya di lingkungan Anda.

    Misalnya, koneksi google_cloud_default digunakan oleh banyak operator Google Cloud dan dikonfigurasi secara otomatis saat Anda membuat lingkungan.

  2. Berikan izin dan peran IAM tambahan ke akun layanan lingkungan Anda, agar dapat mengakses resource di project yang berbeda.

Menentukan akun layanan lingkungan Anda

Untuk menentukan akun layanan lingkungan Anda:

Konsol

  1. Di Konsol Google Cloud, buka halaman Environments.

    Buka Lingkungan

  2. Pada daftar lingkungan, klik nama lingkungan Anda. Halaman Detail lingkungan akan terbuka.

  3. Buka tab Environment configuration.

  4. Akun layanan lingkungan Anda tercantum di kolom Service account.

    Nilainya berupa alamat email, seperti service-account-name@example-project.iam.gserviceaccount.com.

gcloud

gcloud composer environments describe ENVIRONMENT_NAME \
    --location LOCATION \
    --format="get(config.nodeConfig.serviceAccount)"

Nilainya berupa alamat email, seperti service-account-name@example-project.iam.gserviceaccount.com.

Memberikan peran dan izin IAM untuk mengakses resource di project lain

Akun layanan lingkungan Anda memerlukan izin untuk mengakses resource di project lain. Peran dan izin ini dapat berbeda berdasarkan resource yang ingin Anda akses.

Mengakses resource tertentu

Sebaiknya berikan peran dan izin untuk resource tertentu, seperti satu bucket Cloud Storage yang terletak di project berbeda. Dalam pendekatan ini, Anda menggunakan akses berbasis resource dengan binding peran bersyarat.

Untuk mengakses resource tertentu:

  1. Ikuti panduan Mengonfigurasi akses berbasis resource.
  2. Ketika memberikan peran dan izin, tentukan akun layanan lingkungan Anda sebagai akun utama.

Mengakses jenis resource

Sebagai alternatif, Anda dapat memberikan peran dan izin berdasarkan jenis resource, seperti semua bucket Cloud Storage yang terletak di project berbeda.

Untuk mengakses jenis resource:

  1. Ikuti panduan Mengelola akses ke resource lain.
  2. Ketika memberikan peran dan izin, tentukan akun layanan lingkungan Anda sebagai akun utama.

Setelah memberikan izin dan peran yang diperlukan, Anda dapat mengakses resource di project yang berbeda dengan koneksi Airflow default yang sama dengan yang Anda gunakan untuk mengakses resource dalam project tempat lingkungan Anda berada.

Langkah selanjutnya