Cloud Composer 1 se encuentra en modo posterior al mantenimiento. Google no lanza más actualizaciones para Cloud Composer 1, incluidas las versiones nuevas de Airflow, correcciones de errores y actualizaciones de seguridad. Recomendamos planificar la migración a Cloud Composer 2.

Se usó la API de Cloud Translation para traducir esta página.

Accede a entornos con la federación de identidades de personal

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

En esta página, se describe cómo configurar el acceso de los usuarios a tu Entorno de Cloud Composer con federación de identidades de personal.

Acerca de la federación de identidades de personal en Cloud Composer

La federación de identidades de personal te permite usar un proveedor de identidad (IdP) externo autenticar y autorizar a un personal, es decir, un grupo de usuarios, como empleados, socios y contratistas, usando IAM para que usuarios pueden acceder a los servicios de Google Cloud. Más información sobre el personal la federación de identidades, consulta Federación de Workforce Identity.

Si la federación de identidades de personal está configurada en tu proyecto, puedes acceder tu entorno de las siguientes maneras:

Página de Cloud Composer en la consola de Google Cloud
IU de Airflow
Google Cloud CLI, incluida la ejecución de comandos de la CLI de Airflow
API de Cloud Composer
API de REST de Airflow

Antes de comenzar

Todos los entornos nuevos de Cloud Composer creados a partir de la versión 2.1.11 y versión de Airflow Compatibilidad 2.4.3 la federación de identidades de personal. No es necesario que configures de cualquier forma para admitir la federación de identidades de personal.

Importante: Compatibilidad con la federación de identidades de personal en Cloud Composer no proporciona automáticamente un nuevo acceso para identidades externas a tu entorno. Siempre y cuando no configurar el acceso a través de un proveedor de identidad externo y otorgar acceso permisos a identidades externas, estas no pueden acceder tu entorno.
Entornos creados antes de la versión 2.1.11 y versión de Airflow 2.4.3 y se actualizaron a versiones posteriores no admiten la federación de identidades de personal. Puedes Verifica si tu entorno admite la federación de identidades de personal.
Limitaciones de Cloud Storage para la federación de identidades de personal aplicar al bucket del entorno. En particular, debes habilitar el acceso uniforme a nivel de bucket. en el bucket del entorno para permitir que las identidades externas suban sus DAG archivos a este bucket.
Los correos electrónicos enviados desde Airflow solo incluyen el URL de la IU de Airflow para Cuentas de Google. Porque las identidades externas solo pueden acceder a la IU de Airflow a través de ella URL para identidades externas, se debe ajustar el vínculo (se debe cambiar a la URL para identidades externas).

Configura el acceso a tu entorno con la federación de identidades de personal

En esta sección, se describen los pasos para configurar el acceso de identidades externas a tu entorno de Cloud Composer.

Configura tu proveedor de identidad

Configura la federación de identidades de personal para tu proveedor de identidad de la siguiente manera: con la guía Configura la federación de identidades de personal.

Otorga roles de IAM a identidades externas

En Identity and Access Management, otórgales roles de IAM a conjuntos de identidades para que puedan acceder al entorno e interactuar con él:

Para obtener una lista de los roles específicos de Cloud Composer, consulta Otorga funciones a los usuarios. Por ejemplo, el Visualizador de objetos de almacenamiento y usuario de entorno (composer.environmentAndStorageObjectViewer) le permite a un usuario realizar las siguientes acciones: ver entornos, acceder a la IU de Airflow, ver y activar DAG desde la IU de DAG y visualizar objetos en buckets de entorno.
Si deseas obtener instrucciones para asignar estos roles a usuarios externos, consulta Otorga roles de IAM a las principales.
Para un formato de representación de identidades externas en IAM políticas, consulta Representa a los usuarios del grupo de trabajadores en las políticas de IAM.

Verifica que los usuarios nuevos reciban los roles de Airflow correctos en el control de acceso de la IU de Airflow

Cloud Composer controla a los usuarios de Airflow para las identidades externas en del mismo modo que para los usuarios de cuentas de Google. En lugar de una dirección de correo electrónico, un identificador principal y control sobre el uso de sus datos. Cuando una identidad externa accede a la IU de Airflow por primera vez, un El usuario de Airflow se registra automáticamente en el acceso basado en el rol de Airflow sistema de control con el rol predeterminado.

Comprobar que los usuarios nuevos reciban los roles de Airflow correctos en Control de acceso a la IU de Airflow. Tienes dos opciones:

Permite que las identidades externas reciban el rol predeterminado después de acceder a Airflow IU por primera vez. Si es necesario, los usuarios administradores de Airflow pueden cambiar este rol a uno diferente.
Registro previo de identidades externas con un conjunto de los roles requeridos agregando registros de usuario de Airflow con el nombre de usuario y de correo electrónico configurados en sus identificadores principales. De esta manera, los registros las identidades obtienen el rol que les asignaste, no el rol predeterminado.

Importante: El control de acceso a la IU de Airflow solo admite formato de identificador para identidades individuales. No se admiten los grupos ni las identidades con un atributo específico.

Verifica si un entorno admite la federación de identidades de personal

Para verificar si tu entorno admite la federación de identidades de personal, ejecuta el comando siguiente comando de Google Cloud CLI. Si el resultado muestra un URI, tu es compatible con la federación de identidades de personal.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Reemplaza lo siguiente:

ENVIRONMENT_NAME por el nombre del entorno.
LOCATION por la región en la que se encuentra el entorno

Ejemplo:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Accede a la página de Cloud Composer en la consola de Google Cloud

Consola de la federación de identidades de personal de Google Cloud proporciona acceso a la página de Cloud Composer.

En la página Composer de la federación de identidades de personal de Google Cloud consola, puedes acceder a la IU para administrar entornos, IU de DAG, supervisión y registros de Cloud Composer.

Todos los vínculos a la IU de Airflow en la consola federada apuntan a la IU de Airflow de acceso para identidades externas.

Los entornos en versiones anteriores a 2.1.11 o versiones anteriores de Airflow que la 2.4.3 podría tener la IU de Airflow marcados como "No disponible". Esto indica que este entorno no asistir a los usuarios de la federación de identidades de personal en la IU de Airflow. IU de Airflow para esto solo se puede acceder con Cuentas de Google.

Accede a la IU de Airflow

Los entornos de Cloud Composer tienen dos URLs para la IU de Airflow: una para Cuentas de Google y otra para identidades externas. Identidades externas deben acceder a la IU de Airflow a través de la URL para las identidades externas.

La URL para las identidades externas es https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.
La URL de las Cuentas de Google es https://<UNIQUE_ID>.composer.googleusercontent.com.

Nota: Cuentas de servicio (puedes reconocerlas por identificadores que terminan en .iam.gserviceaccount.com) se consideran Cuentas de Google. Usa el .composer.googleusercontent.com si quieres trabajar con Airflow mediante una cuenta de servicio de Google. Consulta Accede a la API de Airflow con una cuenta de servicio.

Solo los usuarios autenticados con identidades externas pueden acceder a la URL. para las identidades externas. Si un usuario visita la URL de identidades externas sin haber accedido, se los redirecciona primero al portal de autenticación donde especifican el nombre del proveedor del grupo de trabajadores, se los redirecciona al proveedor de identidad para acceder se redireccionará a la IU de Airflow del entorno.

Accede a la IU del DAG en la consola de Google Cloud

La IU de DAG está disponible para los usuarios de identidad externos. como parte de la consola federada. Puedes controlar el acceso con políticas de IAM

El acceso basado en roles de Airflow en los entornos con identidad completa del personal también se tiene en cuenta la compatibilidad con la federación y se puede usar Los DAG son visibles para usuarios individuales mediante la configuración de roles, como se describe en Usa el control de acceso a la IU de Airflow.

Accede a Google Cloud CLI

Para acceder a tu entorno a través de Google Cloud CLI, las identidades externas deben haz lo siguiente:

Accede con Google Cloud CLI con una identidad externa.
Ejecuta los comandos gcloud composer environments.

Acceder a la API de Cloud Composer

La API de Cloud Composer se puede usar con identidades externas para administrar todos los entornos de Composer con los métodos de autenticación compatibles, como los tokens de OAuth.

API de REST de Airflow

La API de REST de Airflow está disponible en la extremo para identidades externas con métodos de autenticación como tokens de OAuth.

Para obtener la URL del extremo de las identidades externas de tu entorno, haz lo siguiente: usa el comando gcloud composer environments describe, como se muestra en Verifica si un entorno admite la federación de identidades de personal sección.