使用 Airflow 界面访问权限控制

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

本页面介绍了 Airflow 界面和 DAG 界面的不同访问权限控制机制。除了 IAM 提供的访问权限控制之外，您还可以使用这些机制在环境的 Airflow 界面和 DAG 界面中分隔用户。

Cloud Composer 中的 Airflow 界面访问权限控制概览

在 Cloud Composer 中，您可以通过两个级别控制对 Airflow 界面和 DAG 界面的访问权限，以及在这些界面中数据和操作的可见性：

1. 对 Cloud Composer 中的 Airflow 界面和 DAG 界面的访问权限由 IAM 控制。

   如果帐号没有可以在项目中查看 Cloud Composer 环境的角色，则 Airflow 界面和 DAG 界面将不可用。

   IAM 不会在 Airflow 界面或 DAG 界面中提供任何其他精细的权限控制。

2. Apache Airflow 访问权限控制模型允许根据用户角色降低 Airflow 界面和 DAG 界面的可见性。

   Apache Airflow 访问权限控制是 Airflow 的一项功能，具有自己的用户、角色和权限模型，与 IAM 不同。

Apache Airflow 访问权限控制使用基于资源的权限。拥有特定 Airflow 角色的所有 Airflow 用户都会获得此角色的权限。例如，拥有 can delete on Connections 权限角色的 Airflow 用户可以在 Airflow 界面的“连接”页面上删除连接。

您还可以为各个 DAG 分配 DAG 级权限。例如，只有具有特定 Airflow 角色的用户才能在 Airflow 界面中看到特定 DAG。在 Cloud Composer 中，您可以根据 DAG 文件在环境存储桶中所在的子文件夹，自动分配 DAG 级权限。

准备工作

• 包含访问权限控制功能的 Airflow 界面适用于 Cloud Composer 版本 1.13.4 或更高版本以及 Airflow 1.10.10 及更高版本。该环境还必须运行 Python 3。

• 每个文件夹的角色注册适用于 Cloud Composer 1.18.12 及更高版本的 Airflow 2，以及 Cloud Composer 1.13.4 及更高版本的 Airflow 1。

启用 Airflow 界面访问权限控制

管理 Airflow 角色和访问权限控制设置

拥有 Admin 角色（或同等角色）的用户可以在 Airflow 界面中查看和修改访问权限控制设置。

在 Airflow 界面中，您可以通过安全性菜单配置访问权限控制设置。如需详细了解 Airflow 访问权限控制模型、可用权限和默认角色，请参阅 Airflow 界面访问权限控制文档。

Airflow 1 将 User 角色视为所有自定义角色的模板。Airflow 会不断将用户角色的权限复制到所有自定义角色中（all_dags 的权限除外）。

Airflow 拥有自己的用户列表。拥有 Admin 角色（或同等角色）的用户可以查看已打开环境的 Airflow 界面并在 Airflow 中注册的用户列表。此列表还包含由管理员手动预注册的用户，如以下部分所述。

在 Airflow 界面中注册用户

当用户首次打开 Cloud Composer 环境的 Airflow 界面时，系统会自动注册新用户。

用户注册时会被授予 [webserver]rbac_user_registration_role Airflow 配置选项中指定的角色。您可以通过使用其他值替换此 Airflow 配置选项来控制新注册用户的角色。

如果未指定，则在使用 Airflow 2 的环境中，默认注册角色为 Op。

在提供 Airflow 1.10.* 的环境中，默认注册角色为 Admin。

如需为 Airflow 界面创建基本角色配置，建议按以下步骤操作：

预注册用户

系统会自动使用 Google 用户帐号的数字 ID（而非电子邮件地址）作为用户名。您还可以手动预注册用户并为其分配角色，方法是添加用户记录并将用户名字段设置为用户的主电子邮件地址。当电子邮件地址与预注册用户记录相匹配的用户首次登录 Airflow 界面时，其用户名会替换为当前（首次登录时）由其电子邮件地址标识的用户 ID。Google 身份（电子邮件地址）和用户帐号（用户 ID）之间的关系不固定。无法预注册 Google 网上论坛群组。

如需预注册用户，您可以使用 Airflow 界面，也可以通过 Google Cloud CLI 运行 Airflow CLI 命令。

如需通过 Google Cloud CLI 为用户预注册自定义角色，请运行以下 Airflow CLI 命令：

gcloud composer environments run ENVIRONMENT_NAME \
  --location LOCATION \
  users create -- \
  -r ROLE \
  -e USER_EMAIL \
  -u USER_EMAIL \
  -f FIRST_NAME \
  -l LAST_NAME \
  --use-random-password # The password value is required, but is not used

请替换以下内容：

• ENVIRONMENT_NAME：环境的名称
• LOCATION：环境所在的区域
• ROLE：用户的 Airflow 角色，例如 Op
• USER_EMAIL：用户的电子邮件地址
• FIRST_NAME 和 LAST_NAME：用户的名字和姓氏

示例：

gcloud composer environments run example-environment \
  --location us-central1 \
  users create -- \
  -r Op \
  -e "example-user@example.com" \
  -u "example-user@example.com" \
  -f "Name" \
  -l "Surname" \
  --use-random-password

移除用户

从 Airflow 中删除用户不会撤消该用户的访问权限，因为当用户下次访问 Airflow 界面时，系统会自动再次注册该用户。如需撤消对整个 Airflow 界面的访问权限，请从项目的允许政策中移除 composer.environments.get 权限。

您还可以将用户的角色更改为“公开”，这样可以保留用户的注册，但会移除 Airflow 界面的所有权限。

自动配置 DAG 级权限

每个文件夹的角色注册功能会自动在 /dags 文件夹内为每个子文件夹创建一个自定义 Airflow 角色，并向该角色的 DAG 级访问权限授予其源文件存储在相应子文件夹中的所有 DAG。这样可以简化自定义 Airflow 角色及其对 DAG 的访问权限的管理。

文件夹角色注册的工作原理

文件夹级角色注册是配置角色及其 DAG 级权限的自动方式。因此，它可能会导致与授予 DAG 级权限的其他 Airflow 机制发生冲突：

• 手动为角色分配 DAG 权限。
• 通过 DAG 中的 access_control 属性为 DAG 分配角色。

为防止此类冲突，启用基于文件夹的角色注册还会更改这些机制的行为。

在 Airflow 1 中，启用每个文件夹的角色注册后，将无法使用这些机制。所有 DAG 级别权限管理都只能通过按文件夹的角色注册进行。

在 Airflow 2 中：

• 您可以通过 DAG 源代码中定义的 access_control 属性向 DAG 授予角色访问权限。
• 手动授予 DAG 权限（通过 Airflow 界面或 gcloud CLI）可能会导致冲突。例如，如果您手动向一个文件夹级角色授予 DAG 级权限，则在 DAG 处理器同步 DAG 时，可以移除或覆盖这些权限。建议不要手动授予 DAG 权限。
• 角色具有通过文件夹角色注册功能注册并在 DAG 的 access_control 属性中定义的 DAG 访问权限的集合。

直接位于顶层 /dags 文件夹中的 DAG 不会被自动分配任何文件夹角色。这些文件夹无法以任何文件夹级角色访问。其他角色（例如 Admin、Op、User 或任何已被授予权限的自定义角色）可以通过 Airflow 界面和 DAG 界面访问它们。

如果您将 DAG 上传到其名称与内置 Airflow 角色和 Cloud Composer 创建的角色匹配的子文件夹，系统仍会向这些角色分配对这些子文件夹中 DAG 的权限。例如，将 DAG 上传到 /dags/Admin 文件夹可将此 DAG 的权限授予 Admin 角色。内置 Airflow 角色包括 Admin、Op、User、Viewer 和 Public。在启用每个文件夹的角色注册功能后，Cloud Composer 会创建 NoDag 和 UserNoDag。

Airflow 在处理 Airflow 调度器中的 DAG 时会执行每个文件夹的角色注册。如果您的环境中的 DAG 超过一百个，您可能会看到 DAG 解析时间增加。如果是这种情况，对于 Airflow 1 环境，我们建议增加 [scheduler]max_threads 参数；对于 Airflow 2，建议提高 [scheduler]parsing_processes 参数。

自动将 DAG 分配给每个文件夹的角色

如需将 DAG 自动分配给每个文件夹的角色，请执行以下操作：

1. 替换以下 Airflow 配置选项：

   部分	键	价值
   webserver	rbac_autoregister_per_folder_roles	True

2. 将新的用户注册角色更改为无权访问任何 DAG 的角色。这样一来，在管理员为其帐号分配具有特定 DAG 权限的角色之前，新用户将无权访问任何 DAG。

   UserNoDags 和 NoDags 是 Cloud Composer 仅在启用了文件夹级角色注册功能时创建的角色。它们相当于 User 角色，但无权访问任何 DAG。在 Airflow 2 中创建 UserNoDags 角色，在 Airflow 1 中创建 NoDags 角色。

   在 Airflow 2 中，替换以下 Airflow 配置选项：

   段	键	价值
   webserver	rbac_user_registration_role	UserNoDags

   在 Airflow 1 中，替换以下 Airflow 配置选项：

   段	键	价值
   webserver	rbac_user_registration_role	NoDags

3. 确保用户已在 Airflow 中注册。

4. 使用以下方法之一为用户分配角色：

   • 让 Airflow 根据 DAG 子文件夹自动创建角色，然后将用户分配给这些角色。
   • 为 DAG 子文件夹预先创建空角色，其角色名称与子文件夹的名称匹配，然后将用户分配给这些角色。例如，为 /dags/CustomFolder 文件夹创建一个名为 CustomFolder 的角色。

5. 将 DAG 上传到其名称与分配给用户的角色匹配的子文件夹。 这些子文件夹必须位于环境存储桶中的 /dags 文件夹中。Airflow 会为此类子文件夹中的 DAG 添加权限，以便只有具有相应角色的用户才能通过 Airflow 界面和 DAG 界面访问它们。

手动配置 DAG 级权限

您可以为自定义角色配置 DAG 级权限，以指定对特定用户群组可见的 DAG。

如需在 Airflow 界面中配置 DAG 级权限，请执行以下操作：

1. Admin 创建了空角色来对 DAG 进行分组。
2. 管理员为用户分配适当的角色。
3. 管理员或用户为角色分配 DAG。
4. 在 Airflow 界面中，用户只能看到分配给其群组的 DAG。

您可以通过 DAG 属性或 Airflow 界面为 DAG 分配角色。

在 Airflow 界面中为角色分配 DAG

管理员可以在 Airflow 界面中将必需的 DAG 级权限分配给适当的角色。

DAG 界面不支持此操作。

将 DAG 分配给 DAG 属性中的角色

您可以在 DAG 上设置 access_control DAG 参数，指定分配给该 DAG 的 DAG 分组角色。

dag = DAG(
  access_control={
    'DagGroup': {'can_edit', 'can_read'},
  },
  ...
  )

dag = DAG(
  access_control={
    'DagGroup': {'can_dag_edit', 'can_dag_read'},
  },
  ...
  )

将 Airflow 界面中的审核日志映射到用户

Airflow 界面中的审核日志会映射到 Google 用户帐号的数字 ID。例如，如果用户暂停某个 DAG，则系统会向日志中添加一个条目。

Airflow 2

在 Airflow 2 中，您可以在 Airflow 界面的浏览 > 审核日志页面上查看审核日志。

Airflow 1

在 Airflow 1 中，您可以在浏览 > 日志页面上查看审核日志。

典型条目会在所有者字段中列出数字 ID：accounts.google.com:NUMERIC_ID。您可以在安全性 > 列出用户页面上将数字 ID 映射到用户电子邮件地址。具有 Admin 角色的用户可以访问此页面。

请注意，Google 身份（电子邮件地址）和用户帐号（用户 ID）之间的关系不固定。

后续步骤

• 替换 Airflow 配置选项
• 安全概览
• Cloud Composer 访问权限控制