Utilizzo del controllo dell'accesso alla UI di Airflow

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Questa pagina descrive diversi meccanismi di controllo dell'accesso per l'interfaccia utente di Airflow e per l'interfaccia utente del DAG. Puoi usare questi meccanismi, in aggiunta al controllo dell'accesso forniti da IAM, per separare gli utenti UI di Airflow e UI DAG del tuo ambiente.

Panoramica del controllo dell'accesso all'interfaccia utente di Airflow in Cloud Composer

Accesso a Airflow UI e UI di DAG e la visibilità dei dati e delle operazioni nelle UI è controllata a due livelli Cloud Composer:

1. L'accesso alla UI di Airflow e di DAG in Cloud Composer è controllate da IAM.

   Se un account non ha un ruolo che visualizzare gli ambienti Cloud Composer nel tuo le UI di Airflow e DAG non sono disponibili.

   IAM non fornisce ulteriori informazioni delle autorizzazioni nella UI di Airflow o DAG.

2. Il modello di controllo dell'accesso di Apache Airflow consente di ridurre la visibilità nell'interfaccia utente di Airflow e DAG in base al ruolo utente.

   Il controllo dell'accesso di Apache Airflow è una funzionalità di Airflow, con il suo proprio modello di utenti, ruoli e autorizzazioni, diverso da IAM.

Il controllo dell'accesso di Apache Airflow utilizza autorizzazioni basate sulle risorse. Tutto Airflow gli utenti con un ruolo Airflow specifico ricevono le autorizzazioni di questo ruolo. Ad esempio: Utenti Airflow che hanno un ruolo con l'autorizzazione can delete on Connections può eliminare le connessioni nella pagina Connessioni della UI di Airflow.

Puoi anche assegnare Autorizzazioni a livello di DAG per singoli DAG. Ad esempio, in modo che solo gli utenti con un ruolo Airflow specifico possano visualizzare un determinato DAG nell'interfaccia utente di Airflow. In Cloud Composer puoi assegnare automaticamente le autorizzazioni a livello di DAG, in base alla sottocartella in cui si trova il file DAG nel bucket dell'ambiente.

Prima di iniziare

• L'interfaccia utente di Airflow con il controllo dell'accesso è disponibile per le versioni di Cloud Composer 1.13.4 o successive e per Airflow 1.10.10 e versioni successive. L'ambiente deve anche eseguire Python 3.

• La registrazione dei ruoli per cartella è disponibile in Cloud Composer 1.18.12 e versioni successive in Airflow 2 e in Cloud Composer 1.13.4 e versioni successive in Airflow 1.

Attivare il controllo dell'accesso all'interfaccia utente di Airflow

Gestisci i ruoli e le impostazioni di controllo dell'accesso di Airflow

Gli utenti con il ruolo Amministratore (o equivalente) possono visualizzare e modificare il controllo dell'accesso nella UI di Airflow.

Nell'interfaccia utente di Airflow, puoi configurare le impostazioni di controllo dell'accesso dal menu Sicurezza. Per ulteriori informazioni sul modello di controllo dell'accesso di Airflow, sulle autorizzazioni disponibili e sui ruoli predefiniti, consulta la documentazione del controllo dell'accesso all'interfaccia utente di Airflow.

Airflow 1 tratta il ruolo utente come un modello per tutti i ruoli personalizzati. Airflow copia continuamente le autorizzazioni dal ruolo Utente a tutti i ruoli personalizzati, tranne autorizzazioni per all_dags.

Airflow gestisce il proprio elenco di utenti. Utenti con l'amministratore (o equivalente) può visualizzare l'elenco degli utenti che hanno aperto la UI di Airflow di un ambiente e sono stati registrati in Airflow. Questo elenco include anche gli utenti preregistrata manualmente da un amministratore, come descritto nella sezione seguente.

Registra gli utenti nella UI di Airflow

I nuovi utenti vengono registrati automaticamente quando aprono l'interfaccia utente di Airflow di un ambiente Cloud Composer per la prima volta.

Al momento della registrazione, agli utenti viene assegnato il ruolo specificato nell'opzione di configurazione di Airflow[webserver]rbac_user_registration_role. Puoi controllare il ruolo degli utenti appena registrati sovrascrivendo questa opzione di configurazione di Airflow con un valore diverso.

Se non specificato, il ruolo di registrazione predefinito è Op in ambienti con Airflow 2.

Negli ambienti con Airflow 1.10.*, il ruolo di registrazione predefinito è Admin.

Per creare una configurazione di ruoli di base per l'interfaccia utente di Airflow, consigliamo di seguire i passaggi che seguono:

Preregistra gli utenti

Gli utenti vengono registrati automaticamente con ID numerici degli account utente Google (non indirizzi email) come nomi utente. Puoi anche preregistrare manualmente un utente e assegnargli un ruolo aggiungendo un record utente con il campo del nome utente impostato sull'indirizzo email principale dell'utente. Quando un utente con un indirizzo email abbinando un record di un utente preregistrato accede per la prima volta alla UI di Airflow, il loro nome utente viene sostituito con l'ID utente attualmente (al momento al primo accesso) identificati dal loro indirizzo email. La relazione tra Identità (indirizzi email) e account utente (ID utente) Google non è stato corretto. I gruppi Google non possono essere preregistrati.

Per preregistrare gli utenti, puoi utilizzare la UI di Airflow o eseguire un comando dell'interfaccia a riga di comando di Airflow tramite Google Cloud CLI.

Per preregistrare un utente con un ruolo personalizzato tramite Google Cloud CLI, esegui il seguente comando Airflow CLI:

gcloud composer environments run ENVIRONMENT_NAME \
  --location LOCATION \
  users create -- \
  -r ROLE \
  -e USER_EMAIL \
  -u USER_EMAIL \
  -f FIRST_NAME \
  -l LAST_NAME \
  --use-random-password # The password value is required, but is not used

Sostituisci quanto segue:

• ENVIRONMENT_NAME: il nome dell'ambiente
• LOCATION: la regione in cui si trova l'ambiente
• ROLE: un ruolo Airflow per l'utente, ad esempio Op
• USER_EMAIL: indirizzo email dell'utente
• FIRST_NAME e LAST_NAME: nome e cognome dell'utente

Esempio:

gcloud composer environments run example-environment \
  --location us-central1 \
  users create -- \
  -r Op \
  -e "example-user@example.com" \
  -u "example-user@example.com" \
  -f "Name" \
  -l "Surname" \
  --use-random-password

Rimuovi utenti

L'eliminazione di un utente da Airflow non comporta la revoca del suo accesso, perché viene registrato di nuovo automaticamente alla successiva accesso all'interfaccia utente di Airflow. A revoca l'accesso all'intera UI di Airflow, rimuovi composer.environments.get l'autorizzazione dal relativo criterio di autorizzazione per il tuo progetto.

Puoi anche cambiare il ruolo dell'utente in Pubblico, per mantenere registrazione dell'utente, ma rimuove tutte le autorizzazioni per la UI di Airflow.

Configura automaticamente le autorizzazioni a livello di DAG

La funzionalità di registrazione dei ruoli per cartella crea automaticamente un ruolo Airflow personalizzato per ogni sottocartella direttamente all'interno della cartella /dags e concede a questo ruolo l'accesso a livello di DAG a tutti i DAG il cui file di origine è archiviato nella rispettiva sottocartella. In questo modo, la gestione dei ruoli Airflow personalizzati e il relativo accesso ai DAG vengono semplificati.

Come funziona la registrazione dei ruoli per cartella

La registrazione dei ruoli per cartella è un modo automatizzato di configurare ruoli e relative autorizzazioni a livello di DAG. Di conseguenza, può causare conflitti con altri meccanismi Airflow che concedono autorizzazioni a livello di DAG:

• Assegnazione manuale delle autorizzazioni DAG ai ruoli.
• Assegnazione dei DAG ai ruoli tramite la proprietà access_control in un DAG.

Per evitare questi conflitti, abilitando anche la registrazione dei ruoli per cartella cambia il comportamento di questi meccanismi.

In Airflow 1, la possibilità di utilizzare questi meccanismi è disattivata quando è attivata la registrazione dei ruoli per cartella. Tutte le autorizzazioni a livello di DAG la gestione avviene solo attraverso la registrazione dei ruoli per cartella.

In Airflow 2:

• Puoi concedere l'accesso ai ruoli DAG tramite la proprietà access_control definita nel codice sorgente del DAG.
• Concedere manualmente le autorizzazioni DAG (tramite l'UI di Airflow o gcloud CLI) possono causare conflitti. Ad esempio, se concedere manualmente autorizzazioni a livello di DAG a un ruolo per cartella, le autorizzazioni possono essere rimosse o sovrascritte quando il processore DAG sincronizza un DAG. Consigliamo di non concedere manualmente le autorizzazioni DAG.
• I ruoli hanno un'unione di autorizzazioni di accesso al DAG registrate tramite la registrazione dei ruoli per ogni cartella e definite nella proprietà access_control del DAG.

I DAG che si trovano direttamente nella cartella di primo livello /dags non vengono assegnati automaticamente a nessun ruolo per cartella. Non sono accessibili con nessun ruolo per cartella. Altri ruoli come Amministratore, Operatore, Utente o qualsiasi ruolo personalizzato a cui sono state concesse autorizzazioni possono accedervi tramite l'interfaccia utente di Airflow e DAG.

Se carichi i DAG in sottocartelle con nomi che corrispondono ai ruoli Airflow integrati e ruoli creati da Cloud Composer, quindi le autorizzazioni per i DAG queste sottocartelle sono ancora assegnate a questi ruoli. Ad esempio, il caricamento di un Il DAG alla cartella /dags/Admin concede le autorizzazioni a questo DAG all'amministratore ruolo. I ruoli Airflow integrati includono Amministratore, Operatore, Utente, Visualizzatore e Pubblico. Cloud Composer crea NoDags e UserNoDags dopo l'attivazione della funzionalità di registrazione dei ruoli per cartella.

Airflow esegue la registrazione dei ruoli per cartella quando elabora i DAG nello scheduler di Airflow. Se il tuo ambiente contiene più di cento DAG, potresti notare un aumento del tempo di analisi del DAG. In questo caso, ti consigliamo di aumentare il parametro [scheduler]max_threads per un ambiente Airflow 1 o [scheduler]parsing_processes per Airflow 2.

Assegna automaticamente i DAG ai ruoli per cartella

Per assegnare automaticamente i DAG ai ruoli per cartella:

1. Esegui l'override della seguente opzione di configurazione di Airflow:

   Sezione	Chiave	Valore
   webserver	rbac_autoregister_per_folder_roles	True

2. Modifica il ruolo di registrazione del nuovo utente in un ruolo senza accesso a DAG. In questo modo, i nuovi utenti non hanno accesso a nessun DAG finché un amministratore non assegna ai loro account un ruolo con autorizzazioni per DAG specifici.

   UserNoDags e NoDags sono ruoli creati da Cloud Composer solo quando è abilitata la funzionalità di registrazione dei ruoli per cartella. Sono equivalenti al ruolo Utente, ma senza accesso ai DAG. Il ruolo UserNoDags viene creato in Airflow 2 e il ruolo NoDags in Airflow 1.

   In Airflow 2, esegui l'override della seguente configurazione di Airflow :

   Sezione	Chiave	Valore
   webserver	rbac_user_registration_role	UserNoDags

   In Airflow 1, esegui l'override della seguente opzione di configurazione di Airflow:

   Sezione	Chiave	Valore
   webserver	rbac_user_registration_role	NoDags

3. Assicurati che gli utenti siano registrati in Airflow.

4. Assegna i ruoli agli utenti utilizzando uno dei seguenti approcci:

   • Consenti ad Airflow di creare ruoli automaticamente in base alle sottocartelle dei DAG, e assegnare agli utenti questi ruoli.
   • Crea in anticipo ruoli vuoti per le sottocartelle dei DAG, con i nomi dei ruoli corrispondenti il nome di una sottocartella, quindi assegna agli utenti questi ruoli. Ad esempio, per la cartella /dags/CustomFolder, crea un ruolo denominato CustomFolder.
   di Gemini Advanced.

5. Carica i DAG in sottocartelle con nomi corrispondenti ai ruoli assegnati agli utenti. Queste sottocartelle devono trovarsi all'interno della cartella /dags in del bucket dell'ambiente. Airflow aggiunge le autorizzazioni ai DAG in un sottocartella, in modo che solo gli utenti con il ruolo corrispondente possano accedervi. tramite la UI di Airflow e di DAG.

Configura manualmente le autorizzazioni a livello di DAG

Puoi configurare Autorizzazioni a livello di DAG per i ruoli personalizzati specificare quali DAG sono visibili per specifici gruppi di utenti.

Per configurare le autorizzazioni a livello di DAG nella UI di Airflow:

1. L'amministratore crea ruoli vuoti per raggruppare i DAG.
2. L'amministratore assegna agli utenti i ruoli appropriati.
3. L'amministratore o gli utenti assegnano i DAG ai ruoli.
4. Nella UI di Airflow, gli utenti possono visualizzare solo i DAG assegnati al proprio gruppo.

I DAG possono essere assegnati ai ruoli tramite le proprietà dei DAG o UI di Airflow.

Assegnazione di DAG ai ruoli nella UI di Airflow

Un amministratore può assegnare le autorizzazioni a livello di DAG necessarie ruoli nella UI di Airflow.

Questa operazione non è supportata nell'interfaccia utente del DAG.

Assegnare i DAG ai ruoli nelle proprietà DAG

Puoi impostare il parametro DAG access_control su un DAG, specificando i ruoli di raggruppamento DAG a cui è assegnato il DAG.

dag = DAG(
  access_control={
    'DagGroup': {'can_edit', 'can_read'},
  },
  ...
  )

dag = DAG(
  access_control={
    'DagGroup': {'can_dag_edit', 'can_dag_read'},
  },
  ...
  )

Mappa gli audit log nella UI di Airflow agli utenti

I log di controllo nell'interfaccia utente di Airflow sono mappati agli ID numerici degli account utente Google. Ad esempio, se un utente mette in pausa un DAG, viene aggiunta una voce ai log.

Flusso d'aria 2

In Airflow 2, puoi visualizzare gli audit log in Sfoglia > Audit Logs nella UI di Airflow.

di Gemini Advanced.

Airflow 1

In Airflow 1, puoi visualizzare gli audit log in Sfoglia > Pagina Log.

di Gemini Advanced.

Una voce tipica elenca un ID numerico nel campo Proprietario: accounts.google.com:NUMERIC_ID. Puoi mappare gli ID numerici alle email degli utenti nella Sicurezza > Elenco utenti. Questa pagina è disponibile per utenti con il ruolo Admin.

Tieni presente che la relazione tra identità Google (indirizzi email) e account utente (ID utente) non è fissa.

Passaggi successivi

• Esegui l'override delle opzioni di configurazione di Airflow
• Panoramica della sicurezza
• Controllo dell'accesso di Cloud Composer