Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Questa pagina descrive i diversi meccanismi di controllo dell'accesso dell'accesso per la UI di Airflow e la UI DAG. Puoi utilizzare questi meccanismi, oltre al controllo dell'accesso dell'accesso fornito da IAM, per separare gli utenti nella UI di Airflow e nella UI DAG del tuo ambiente.
Panoramica del controllo dell'accesso alla UI di Airflow in Cloud Composer
L'accesso alle UI di Airflow e all'UI di DAG e la visibilità dei dati e delle operazioni in queste UI sono controllati a due livelli in Cloud Composer:
L'accesso alle UI di Airflow e DAG in Cloud Composer è controllato da IAM.
Se un account non ha un ruolo in grado di visualizzare gli ambienti Cloud Composer nel progetto, la UI e la UI DAG di Airflow non sono disponibili.
IAM non fornisce alcun controllo granulare delle autorizzazioni nella UI di Airflow o DAG.
Il modello di controllo degli accessi di Apache Airflow consente di ridurre la visibilità nella UI di Airflow e DAG in base al ruolo utente.
Il controllo degli accessi di Apache Airflow è una funzionalità di Airflow, con un proprio modello di utenti, ruoli e autorizzazioni, che è diverso da IAM.
Il controllo degli accessi di Apache Airflow utilizza autorizzazioni basate sulle risorse. Tutti gli utenti Airflow con un ruolo Airflow specifico hanno le autorizzazioni di questo ruolo. Ad esempio, gli utenti di Airflow che hanno un ruolo con l'autorizzazione can delete on Connections possono eliminare le connessioni nella pagina Connessioni della UI di Airflow.
Puoi anche assegnare autorizzazioni a livello di DAG per singoli DAG. Ad esempio, in modo che solo gli utenti con un ruolo Airflow specifico possano vedere un determinato DAG nella UI di Airflow. In Cloud Composer, puoi assegnare automaticamente autorizzazioni a livello di DAG, in base alla sottocartella in cui si trova il file DAG nel bucket dell'ambiente.
Prima di iniziare
La UI di Airflow con controllo dell'accesso è disponibile per Cloud Composer 1.13.4 o versioni successive e per Airflow 1.10.10 e versioni successive. L'ambiente deve anche eseguire Python 3.
La registrazione dei ruoli per cartella è disponibile in Cloud Composer 1.18.12 e versioni successive in Airflow 2 e in Cloud Composer 1.13.4 e versioni successive in Airflow 1.
Abilita il controllo dell'accesso alla UI di Airflow
Flusso d'aria 2
La UI di Airflow con controllo dell'accesso è sempre abilitata in Airflow 2.
Flusso d'aria 1
Per abilitare la UI di Airflow con il controllo dell'accesso, esegui l'override della seguente opzione di configurazione di Airflow:
| Sezione | Chiave | Valore |
|---|---|---|
webserver |
rbac |
True |
Puoi farlo per un ambiente esistente o quando ne crei uno nuovo.
Con questa configurazione, il tuo ambiente esegue la UI di Airflow con Access Control anziché la UI classica di Airflow.
Gestisci i ruoli e le impostazioni di controllo dell'accesso di Airflow
Gli utenti con il ruolo Amministratore (o equivalente) possono visualizzare e modificare le impostazioni di controllo dell'accesso nella UI di Airflow.
Nella UI di Airflow, puoi configurare le impostazioni di controllo dell'accesso dal menu Sicurezza. Per ulteriori informazioni sul modello di controllo dell'accesso di Airflow, sulle autorizzazioni disponibili e sui ruoli predefiniti, consulta la documentazione sul controllo dell'accesso alla UI di Airflow.
Airflow 1 tratta il ruolo utente come un modello per tutti i ruoli personalizzati. Airflow
copia continuamente le autorizzazioni dal ruolo Utente a tutti i ruoli personalizzati, tranne
le autorizzazioni per all_dags.
Airflow gestisce il proprio elenco di utenti. Gli utenti con il ruolo Amministratore (o equivalente) possono visualizzare l'elenco degli utenti che hanno aperto l'UI di Airflow di un ambiente e sono stati registrati in Airflow. Questo elenco include anche gli utenti registrati manualmente da un amministratore, come descritto nella sezione seguente.
Registra gli utenti nella UI di Airflow
I nuovi utenti vengono registrati automaticamente quando aprono per la prima volta la UI di Airflow di un ambiente Cloud Composer.
Al momento della registrazione, agli utenti viene concesso il ruolo specificato nell'opzione di configurazione Airflow [webserver]rbac_user_registration_role. Puoi controllare il ruolo degli utenti appena registrati eseguendo l'override di questa opzione di configurazione di Airflow con un valore diverso.
Se non specificato, il ruolo di registrazione predefinito è Op negli ambienti con
Airflow 2.
Negli ambienti con Airflow 1.10.*, il ruolo di registrazione predefinito è Admin.
I passaggi seguenti sono consigliati per creare una configurazione dei ruoli di base per la UI di Airflow:
Flusso d'aria 2
Gli amministratori dell'ambiente aprono la UI di Airflow per l'ambiente appena creato.
Concedi agli account amministratore il ruolo
Admin. Il ruolo predefinito per i nuovi account in ambienti con Airflow 2 èOp. Per assegnare il ruoloAdmin, esegui questo comando dell'interfaccia a riga di comando Airflow congcloud:gcloud composer environments run ENVIRONMENT_NAME \ --location LOCATION \ users add-role -- -e USER_EMAIL -r AdminSostituisci:
ENVIRONMENT_NAMEcon il nome dell'ambiente.LOCATIONcon la regione in cui si trova l'ambiente.USER_EMAILcon l'indirizzo email di un account utente.
Ora gli amministratori possono configurare il controllo dell'accesso'accesso per i nuovi utenti, inclusa la concessione del ruolo
Adminad altri utenti.
Flusso d'aria 1
Gli amministratori dell'ambiente aprono la UI di Airflow per l'ambiente appena creato, in cui vengono registrati automaticamente con il ruolo
Admin.Esegui l'override della seguente opzione di configurazione di Airflow con il ruolo richiesto per i nuovi utenti. Ad esempio, per
User.Sezione Chiave Valore webserverrbac_user_registration_roleUsero altro ruolo non amministratoreOra gli amministratori possono configurare controllo dell'accesso alla UI di Airflow per i nuovi utenti, inclusa la concessione del ruolo
Adminad altri utenti.
Preregistra gli utenti
Gli utenti vengono registrati automaticamente con ID numerici degli account utente Google (non indirizzi email) come nomi utente. Puoi anche preregistrare manualmente un utente e assegnargli un ruolo aggiungendo un record utente con il campo del nome utente impostato sull'indirizzo email principale dell'utente. Quando un utente con un indirizzo email corrispondente a un record di un utente preregistrato accede per la prima volta alla UI di Airflow, il suo nome utente viene sostituito con l'ID utente attualmente (al momento del primo accesso) identificato dal suo indirizzo email. La relazione tra identità Google (indirizzi email) e account utente (ID utente) non è fissa. I gruppi Google non possono essere preregistrati.
Per preregistrare gli utenti, puoi utilizzare la UI di Airflow o eseguire un comando dell'interfaccia a riga di comando di Airflow tramite Google Cloud CLI.
Per preregistrare un utente con un ruolo personalizzato tramite Google Cloud CLI, esegui questo comando dell'interfaccia a riga di comando Airflow:
gcloud composer environments run ENVIRONMENT_NAME \
--location LOCATION \
users create -- \
-r ROLE \
-e USER_EMAIL \
-u USER_EMAIL \
-f FIRST_NAME \
-l LAST_NAME \
--use-random-password # The password value is required, but is not used
Sostituisci quanto segue:
ENVIRONMENT_NAME: il nome dell'ambienteLOCATION: la regione in cui si trova l'ambienteROLE: un ruolo Airflow per l'utente, ad esempioOpUSER_EMAIL: indirizzo email dell'utenteFIRST_NAMEeLAST_NAME: nome e cognome dell'utente
Esempio:
gcloud composer environments run example-environment \
--location us-central1 \
users create -- \
-r Op \
-e "example-user@example.com" \
-u "example-user@example.com" \
-f "Name" \
-l "Surname" \
--use-random-password
Rimuovi utenti
L'eliminazione di un utente da Airflow non revoca l'accesso per quell'utente, perché viene registrato di nuovo automaticamente al successivo accesso alla UI di Airflow. Per
revocare l'accesso all'intera UI di Airflow, rimuovi l'autorizzazione composer.environments.get
dal relativo criterio di autorizzazione per il tuo progetto.
Puoi anche cambiare il ruolo dell'utente in Pubblico, in modo da mantenere la registrazione dell'utente, ma rimuovere tutte le autorizzazioni per la UI di Airflow.
Configura automaticamente le autorizzazioni a livello di DAG
La funzionalità di registrazione dei ruoli per cartella crea automaticamente un ruolo Airflow personalizzato per ogni sottocartella direttamente all'interno della cartella /dags e concede a questo ruolo l'accesso a livello di DAG a tutti i DAG il cui file di origine è archiviato nella rispettiva sottocartella. Questo
semplifica la gestione dei ruoli Airflow personalizzati e del loro accesso ai DAG.
Come funziona la registrazione dei ruoli per cartella
La registrazione dei ruoli per cartella è un modo automatizzato per configurare i ruoli e le relative autorizzazioni a livello di DAG. Di conseguenza, può causare conflitti con altri meccanismi Airflow che concedono autorizzazioni a livello di DAG:
- Assegnazione manuale delle autorizzazioni DAG ai ruoli.
- Assegnazione dei DAG ai ruoli tramite la proprietà
access_controlin un DAG.
Per evitare questi conflitti, l'abilitazione della registrazione dei ruoli per cartella modifica anche il comportamento di questi meccanismi.
In Airflow 1, la possibilità di utilizzare questi meccanismi è disabilitata se è abilitata la registrazione dei ruoli per cartella. La gestione delle autorizzazioni a livello di DAG avviene solo tramite la registrazione dei ruoli per cartella.
In Airflow 2:
- Puoi concedere l'accesso ai DAG ai ruoli tramite la proprietà
access_controldefinita nel codice sorgente del DAG. - La concessione manuale delle autorizzazioni DAG (tramite la UI di Airflow o gcloud CLI) può causare conflitti. Ad esempio, se concedi manualmente autorizzazioni a livello di DAG a un ruolo per cartella, queste autorizzazioni possono essere rimosse o sovrascritte quando il processore DAG sincronizza un DAG. Consigliamo di non concedere manualmente le autorizzazioni DAG.
- I ruoli hanno un'unione di autorizzazioni di accesso ai DAG registrate tramite la registrazione dei ruoli per cartella e definite nella proprietà
access_controldel DAG.
I DAG che si trovano direttamente nella cartella di primo livello /dags non vengono assegnati automaticamente ad alcun ruolo per cartella. Non sono accessibili con nessun ruolo per cartella. Altri ruoli come Amministratore, Operazione, Utente o qualsiasi ruolo personalizzato a cui sono state concesse le autorizzazioni possono accedervi tramite la UI di Airflow e di DAG.
Se carichi i DAG in sottocartelle con nomi che corrispondono ai ruoli Airflow integrati e ai ruoli creati da Cloud Composer, le autorizzazioni per i DAG in queste sottocartelle vengono comunque assegnate a questi ruoli. Ad esempio, il caricamento di un DAG nella cartella /dags/Admin concede le autorizzazioni a questo DAG al ruolo di amministratore. I ruoli Airflow integrati includono Amministratore, Operatore, Utente, Visualizzatore e Pubblico.
Cloud Composer crea i valori NoDags e UserNoDags dopo l'abilitazione della funzionalità di registrazione dei ruoli per cartella.
Airflow esegue la registrazione dei ruoli per cartella quando elabora i DAG nello scheduler di Airflow. Se nel tuo ambiente sono presenti più di un centinaio di DAG, potresti notare un aumento del tempo di analisi dei DAG.
In questo caso, consigliamo di aumentare il parametro [scheduler]max_threads
per un ambiente Airflow 1 o [scheduler]parsing_processes per
Airflow 2.
Assegna automaticamente i DAG ai ruoli per cartella
Per assegnare automaticamente i DAG a ruoli per cartella:
Esegui l'override della seguente opzione di configurazione di Airflow:
Sezione Chiave Valore webserverrbac_autoregister_per_folder_rolesTrueCambia il ruolo di registrazione del nuovo utente in un ruolo senza accesso ai DAG. In questo modo, i nuovi utenti non hanno accesso ai DAG finché un amministratore non assegna ai propri account un ruolo con autorizzazioni per DAG specifici.
UserNoDags e NoDags sono ruoli creati da Cloud Composer solo quando la funzionalità di registrazione dei ruoli per cartella è abilitata. Sono equivalente al ruolo Utente, ma senza accesso ai DAG. Il ruolo UserNoDags viene creato in Airflow 2 e il ruolo NoDags viene creato in Airflow 1.
In Airflow 2, esegui l'override della seguente opzione di configurazione di Airflow:
Sezione Chiave Valore webserverrbac_user_registration_roleUserNoDagsIn Airflow 1, esegui l'override della seguente opzione di configurazione di Airflow:
Sezione Chiave Valore webserverrbac_user_registration_roleNoDagsAssicurati che gli utenti siano registrati in Airflow.
Assegna i ruoli agli utenti utilizzando uno dei seguenti approcci:
- Consenti ad Airflow di creare ruoli automaticamente in base alle sottocartelle dei DAG, quindi assegna gli utenti a questi ruoli.
- Crea in precedenza ruoli vuoti per le sottocartelle dei DAG, con nomi dei ruoli corrispondenti
a quello di una sottocartella, quindi assegna questi ruoli agli utenti. Ad esempio, per la cartella
/dags/CustomFolder, crea un ruolo denominatoCustomFolder.
Carica i DAG in sottocartelle con nomi corrispondenti ai ruoli assegnati agli utenti. Queste sottocartelle devono trovarsi all'interno della cartella
/dagsnel bucket dell'ambiente. Airflow aggiunge autorizzazioni ai DAG in una sottocartella di questo tipo, in modo che solo gli utenti con il ruolo corrispondente possano accedervi tramite la UI di Airflow e di DAG.
Configura manualmente le autorizzazioni a livello di DAG
Puoi configurare autorizzazioni a livello di DAG per i ruoli personalizzati al fine di specificare quali DAG sono visibili per gruppi di utenti specifici.
Per configurare le autorizzazioni a livello di DAG nella UI di Airflow:
- L'amministratore crea ruoli vuoti per il raggruppamento dei DAG.
- L'amministratore assegna agli utenti i ruoli appropriati.
- L'amministratore o gli utenti assegnano i DAG ai ruoli.
- Nella UI di Airflow, gli utenti possono visualizzare solo i DAG assegnati al proprio gruppo.
I DAG possono essere assegnati ai ruoli tramite le proprietà dei DAG o dalla UI di Airflow.
Assegnazione di DAG ai ruoli nella UI di Airflow
Un amministratore può assegnare le autorizzazioni a livello di DAG richieste ai ruoli appropriati nella UI di Airflow.
Questa operazione non è supportata nella UI dei DAG.
Assegnazione di DAG ai ruoli nelle proprietà dei DAG
Puoi impostare il parametro DAG access_control su un DAG, specificando i ruoli di raggruppamento dei DAG a cui è assegnato il DAG.
Flusso d'aria 2
dag = DAG(
access_control={
'DagGroup': {'can_edit', 'can_read'},
},
...
)
Flusso d'aria 1
dag = DAG(
access_control={
'DagGroup': {'can_dag_edit', 'can_dag_read'},
},
...
)
Mappa gli audit log nella UI di Airflow agli utenti
Gli audit log nella UI di Airflow sono mappati a ID numerici degli account utente Google. Ad esempio, se un utente mette in pausa un DAG, viene aggiunta una voce ai log.
Flusso d'aria 2
In Airflow 2, puoi visualizzare gli audit log nella pagina Sfoglia > Audit log nella UI di Airflow.
Flusso d'aria 1
In Airflow 1, puoi visualizzare gli audit log nella pagina Sfoglia > Log.
Una voce tipica elenca un ID numerico nel campo Proprietario:
accounts.google.com:NUMERIC_ID. Puoi mappare gli ID numerici alle email degli utenti nella pagina Sicurezza > Elenca utenti. Questa pagina è disponibile per
gli utenti con il ruolo Admin.
Tieni presente che la relazione tra identità Google (indirizzi email) e account utente (ID utente) non è fissa.
Passaggi successivi
- Esegui l'override delle opzioni di configurazione di Airflow
- Panoramica sulla sicurezza
- Controllo dell'accesso di Cloud Composer