Cloud Composer 1 befindet sich im Modus „Nach der Wartung“. Google veröffentlicht keine weiteren Updates für Cloud Composer 1, einschließlich neuer Versionen von Airflow sowie Fehlerkorrekturen und Sicherheitsupdates. Wir empfehlen die Migration zu Cloud Composer 2.

Diese Seite wurde von der Cloud Translation API übersetzt.

Mit Mitarbeiteridentitätsföderation auf Umgebungen zugreifen

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Auf dieser Seite wird beschrieben, wie Sie den Nutzerzugriff auf Ihre Cloud Composer-Umgebung mit Mitarbeiteridentitätsföderation.

Mitarbeiteridentitätsföderation in Cloud Composer

Mit der Mitarbeiteridentitätsföderation können Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden Mitarbeiter authentifizieren und autorisieren, z. B. eine Gruppe von Nutzern, z. B. Mitarbeitenden, Partnern und Auftragnehmern – mit IAM, damit die -Nutzer können auf Google Cloud-Dienste zugreifen. Weitere Informationen zu Mitarbeitern Identitätsföderation, siehe Mitarbeiteridentitätsföderation

Wenn die Mitarbeiteridentitätsföderation in Ihrem Projekt konfiguriert ist, können Sie auf Ihre Umgebung:

Seite „Cloud Composer“ in der Google Cloud Console
Airflow-UI
Google Cloud CLI, einschließlich Ausführen von Airflow-Kommandozeilenbefehlen
Cloud Composer API
Airflow REST API

Hinweise

Alle neuen Cloud Composer-Umgebungen, die ab Version erstellt wurden 2.1.11 und Airflow-Version 2.4.3-Unterstützung Mitarbeiteridentitätsföderation. Sie müssen Ihr um die Mitarbeiteridentitätsföderation zu unterstützen.

Wichtig: Unterstützung der Mitarbeiteridentitätsföderation in Cloud Composer bietet nicht automatisch einen neuen Zugriff für externe Identitäten zu Ihrer Umgebung. Solange Sie keine Konfigurieren Sie den Zugriff über einen externen Identitätsanbieter und gewähren Sie Zugriff Berechtigungen für externe Identitäten gewährt, können die externen Identitäten nicht auf für Ihre Umgebung.
Vor Version erstellte Umgebungen 2.1.11 und Airflow-Version 2.4.3 und auf höhere Versionen aktualisiert unterstützen die Mitarbeiteridentitätsföderation nicht. Sie können Prüfen Sie, ob Ihre Umgebung die Mitarbeiteridentitätsföderation unterstützt.
Cloud Storage-Einschränkungen für die Mitarbeiteridentitätsföderation auf den Bucket der Umgebung angewendet. Insbesondere müssen Sie den einheitlichen Zugriff auf Bucket-Ebene aktivieren. auf den Bucket der Umgebung, damit externe Identitäten ihre DAGs und in diesen Bucket verschieben.
E-Mails, die von Airflow gesendet werden, enthalten nur den Parameter Airflow-UI-URL für Google-Konten Weil Externe Identitäten können nur über die Airflow-UI auf die Airflow-UI zugreifen URL für externe Identitäten, der Link muss angepasst (geändert in die URL) für externe Identitäten).

Zugriff auf Ihre Umgebung mit Mitarbeiteridentitätsföderation einrichten

In diesem Abschnitt werden die Schritte zum Konfigurieren des Zugriffs für externe Identitäten auf Ihre Cloud Composer-Umgebung beschrieben.

Identitätsanbieter konfigurieren

Konfigurieren Sie die Mitarbeiteridentitätsföderation für Ihren Identitätsanbieter, indem Sie und befolgen Sie die Anleitung unter Mitarbeiteridentitätsföderation konfigurieren.

Externen Identitäten IAM-Rollen zuweisen

Weisen Sie in Identity and Access Management Gruppen externer Identitäten, damit sie auf Ihre Umgebung zugreifen und mit ihr interagieren können:

Eine Liste der für Cloud Composer spezifischen Rollen finden Sie unter Nutzern Rollen zuweisen Beispiel: Der Parameter Umgebungsnutzer und Betrachter von Storage-Objekten Rolle (composer.environmentAndStorageObjectViewer) ermöglicht einem Nutzer Folgendes: Umgebungen ansehen, auf die Airflow-UI zugreifen, DAGs ansehen und auslösen von DAG-UI aufrufen und Objekte in Umgebungs-Buckets ansehen
Eine Anleitung zum Zuweisen dieser Rollen zu externen Nutzern finden Sie unter Hauptkonten IAM-Rollen zuweisen
Für ein Format zur Darstellung externer Identitäten in IAM finden Sie unter Personalpoolnutzer in IAM-Richtlinien darstellen

Prüfen, ob neue Nutzer in der Airflow-UI-Zugriffssteuerung die richtigen Airflow-Rollen erhalten

Cloud Composer verarbeitet Airflow-Nutzer für externe Identitäten in Dies funktioniert genauso wie bei Nutzern von Google-Konten. Anstelle einer E-Mail-Adresse wird ein Haupt-ID verwendet wird. Wenn eine externe Identität zum ersten Mal auf die Airflow-UI zugreift, wird ein Airflow-Nutzer wird automatisch für den rollenbasierten Airflow-Zugriff registriert das System mit der Standardrolle steuern.

Prüfen Sie, ob neue Nutzer die richtigen Airflow-Rollen erhalten in Airflow-UI-Zugriffssteuerung Es stehen zwei Optionen zur Verfügung:

Externen Identitäten erlauben, die Standardrolle zu erhalten, nachdem sie auf Airflow zugegriffen haben UI zum ersten Mal verwendet. Bei Bedarf können Airflow-Administratoren diese Rolle einem anderen zuzuweisen.
Externe Identitäten mit einem Satz vorregistrieren der erforderlichen Rollen, indem Airflow-Nutzerdatensätze mit dem Nutzernamen und email-Feldern, die auf ihre Principal Identifiers festgelegt sind. Auf diese Weise Identitäten erhalten die Rolle, die Sie ihnen zugewiesen haben, und nicht die Standardrolle.

Wichtig: Die Airflow-UI-Zugriffssteuerung unterstützt nur die Kennungsformat für einzelne Identitäten. Gruppen und Identitäten mit einem bestimmten Attribut werden nicht unterstützt.

Prüfen, ob eine Umgebung die Mitarbeiteridentitätsföderation unterstützt

Führen Sie den folgenden Befehl aus, um zu prüfen, ob Ihre Umgebung die Mitarbeiteridentitätsföderation unterstützt: folgenden Google Cloud CLI-Befehl. Wenn die Ausgabe einen URI enthält, die Mitarbeiteridentitätsföderation unterstützt.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Ersetzen Sie:

ENVIRONMENT_NAME durch den Namen der Umgebung.
LOCATION durch die Region, in der sich die Umgebung befindet.

Beispiel:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

In der Google Cloud Console auf die Seite „Cloud Composer“ zugreifen

Google Cloud-Konsole für Mitarbeiteridentitätsföderation Zugriff auf die Seite „Cloud Composer“.

Über die Seite Composer in der Google Cloud-Mitarbeiteridentitätsföderation können Sie auf die Benutzeroberfläche zugreifen, um Umgebungen zu verwalten, Cloud Composer-Logs, Monitoring und DAG-UI

Alle Links zur Airflow-UI in der föderierten Konsole verweisen auf die Airflow-UI Zugriffspunkt für externe Identitäten.

Umgebungen in Versionen vor dem 2.1.11 und/oder frühere Airflow-Versionen als Version 2.4.3 haben möglicherweise ihre Airflow-UI Links, die als „Nicht verfügbar“ gekennzeichnet sind. Das bedeutet, dass diese Umgebung Support für Nutzer der Mitarbeiteridentitätsföderation in der Airflow-UI. Airflow-UI dafür Der Zugriff auf die Umgebung ist nur mit Google-Konten möglich.

Auf Airflow-UI zugreifen

Cloud Composer-Umgebungen haben zwei URLs für die Airflow-UI: eine für Google-Konten und ein weiteres für externe Identitäten. Externe Identitäten muss über die URL für externe Identitäten auf die Airflow-UI zugreifen.

Die URL für externe Identitäten lautet https://<UNIQUE_ID>.composer.byoid.googleusercontent.com
Die URL für Google-Konten lautet https://<UNIQUE_ID>.composer.googleusercontent.com.

Hinweis: Dienstkonten (Sie erkennen sie anhand von IDs, die auf .iam.gserviceaccount.com enden). gelten als Google-Konten. .composer.googleusercontent.com verwenden Adresse, wenn Sie mit Airflow über ein Google-Dienstkonto arbeiten möchten. Weitere Informationen finden Sie unter Airflow API mit einem Dienstkonto aufrufen.

Nur Nutzer, die mit externen Identitäten authentifiziert sind, können auf die URL zugreifen für externe Identitäten. Wenn ein Nutzer die URL für externe Identitäten aufruft Wenn er nicht angemeldet ist, wird er zuerst zum Authentifizierungsportal weitergeleitet in der sie den Namen des Personalpools angeben, zur Anmeldung an den Identitätsanbieter weitergeleitet an die Airflow-UI der Umgebung weitergeleitet.

In der Google Cloud Console auf die DAG-UI zugreifen

Die DAG-UI ist für externe Identitätsnutzer verfügbar Teil der föderierten Konsole sein. Sie können können Sie den Zugriff mit IAM-Richtlinien steuern.

Rollenbasierter Airflow-Zugriff in Umgebungen mit vollständiger Mitarbeiteridentität Auch die Föderationsunterstützung wird berücksichtigt und kann verwendet werden, um einzuschränken, DAGs sind für einzelne Nutzer sichtbar, indem Rollen eingerichtet werden, wie unter Airflow-UI-Zugriffssteuerung verwenden

Auf die Google Cloud CLI zugreifen

Für den Zugriff auf Ihre Umgebung über die Google Cloud CLI müssen externe Identitäten Gehen Sie so vor:

Melden Sie sich mit einer externen Identität in der Google Cloud CLI an.
Führen Sie gcloud composer environments-Befehle aus.

Auf die Cloud Composer API zugreifen

Die Cloud Composer API kann mit externen Identitäten verwendet werden, um alle Composer-Umgebungen mit den unterstützten Authentifizierungsmethoden wie OAuth-Tokens zu verwalten.

Airflow REST API

Die Airflow REST API ist verfügbar unter Endpunkt für externe Identitäten mit dem unterstützten Authentifizierungsmethoden wie OAuth-Tokens.

So rufen Sie die URL des Endpunkts für externe Identitäten für Ihre Umgebung ab: verwenden Sie den Befehl gcloud composer environments describe, wie in der Prüfen, ob eine Umgebung die Mitarbeiteridentitätsföderation unterstützt .