Cloud Composer 1 è in modalità post-manutenzione. Google non rilascia ulteriori aggiornamenti di Cloud Composer 1, incluse nuove versioni di Airflow, correzioni di bug e aggiornamenti della sicurezza. Ti consigliamo di pianificare la migrazione a Cloud Composer 2.

Accedi agli ambienti con la federazione delle identità per la forza lavoro

Cloud Composer 1 | Cloud Composer 2

Questa pagina descrive come configurare l'accesso degli utenti al tuo ambiente Cloud Composer con la federazione delle identità per la forza lavoro.

Informazioni sulla federazione delle identità per la forza lavoro in Cloud Composer

La federazione delle identità per la forza lavoro consente di utilizzare un provider di identità (IdP) esterno per autenticare e autorizzare una forza lavoro, ovvero un gruppo di utenti, ad esempio dipendenti, partner e appaltatori, utilizzando IAM, in modo che gli utenti possano accedere ai servizi Google Cloud. Per ulteriori informazioni sulla federazione delle identità per la forza lavoro, consulta Federazione delle identità per la forza lavoro.

Se nel progetto è configurata la federazione delle identità per la forza lavoro, puoi accedere all'ambiente nei seguenti modi:

Pagina di Cloud Composer nella console Google Cloud
UI di Airflow
Google Cloud CLI, inclusa l'esecuzione di comandi dell'interfaccia a riga di comando di Airflow
API Cloud Composer
API REST Airflow

Prima di iniziare

Tutti i nuovi ambienti Cloud Composer creati a partire dalla versione 2.1.11 e Airflow versione 2.4.3 supportano la federazione delle identità per la forza lavoro. Non è necessario configurare il tuo ambiente in alcun modo specifico per supportare la federazione delle identità per la forza lavoro.

Importante: il supporto della federazione delle identità per la forza lavoro in Cloud Composer non fornisce automaticamente un nuovo percorso di accesso per le identità esterne al tuo ambiente. Se non configuri l'accesso tramite un provider di identità esterno e non concedi le autorizzazioni di accesso alle identità esterne, queste non possono accedere al tuo ambiente.
Gli ambienti creati prima della versione 2.1.11 e di Airflow versione 2.4.3 e con upgrade a versioni successive non supportano la federazione delle identità per la forza lavoro. Puoi verificare se il tuo ambiente supporta la federazione delle identità per la forza lavoro.
Le limitazioni di Cloud Storage per la federazione delle identità per la forza lavoro si applicano al bucket dell'ambiente. In particolare, devi abilitare l'accesso uniforme a livello di bucket nel bucket dell'ambiente per consentire alle identità esterne di caricare i propri DAG e i propri file in questo bucket.
Le email inviate da Airflow includono solo l'URL UI di Airflow per gli Account Google. Poiché le identità esterne possono accedere alla UI di Airflow solo tramite l'URL UI di Airflow per le identità esterne, il collegamento deve essere regolato (cambia l'URL per le identità esterne).

Configura l'accesso al tuo ambiente con la federazione delle identità per la forza lavoro

Questa sezione descrive i passaggi per configurare l'accesso per le identità esterne al tuo ambiente Cloud Composer.

Configura il tuo provider di identità

Configura la federazione delle identità per la forza lavoro per il tuo provider di identità seguendo la guida Configurare la federazione delle identità per la forza lavoro.

Concedi ruoli IAM alle identità esterne

In Identity and Access Management, concedi i ruoli IAM a set di identità esterne, in modo che possano accedere e interagire con il tuo ambiente:

Per un elenco dei ruoli specifici di Cloud Composer, consulta Concedi ruoli agli utenti. Ad esempio, il ruolo Utente ambiente e Visualizzatore oggetti Storage (composer.environmentAndStorageObjectViewer) consente a un utente di visualizzare gli ambienti, accedere all'interfaccia utente di Airflow, visualizzare e attivare i DAG dalla UI DAG e visualizzare gli oggetti nei bucket di ambiente.
Per istruzioni sull'assegnazione di questi ruoli agli utenti esterni, consulta Concedere ruoli IAM alle entità.
Per un formato di rappresentazione delle identità esterne nei criteri IAM, consulta Rappresentare gli utenti del pool di forza lavoro nei criteri IAM.

Verifica che i nuovi utenti ricevano i ruoli Airflow corretti nel controllo dell'accesso alla UI di Airflow

Cloud Composer gestisce gli utenti Airflow per le identità esterne, come per gli utenti dell'Account Google. Anziché un indirizzo email, viene utilizzato un identificatore principale. Quando un'identità esterna accede alla UI di Airflow per la prima volta, un utente Airflow viene registrato automaticamente nel sistema di controllo degli accessi basato sui ruoli di Airflow con il ruolo predefinito.

Verifica che i nuovi utenti ricevano i ruoli Airflow corretti in Controllo dell'accesso alla UI di Airflow. Puoi scegliere tra due opzioni:

Consenti alle identità esterne di ricevere il ruolo predefinito dopo aver eseguito l'accesso all'interfaccia utente di Airflow per la prima volta. Se necessario, gli utenti amministratori di Airflow possono in seguito modificare questo ruolo.
Preregistra le identità esterne con un insieme di ruoli richiesti aggiungendo record utente di Airflow con i campi del nome utente e dell'email impostati sui rispettivi identificatori principali. In questo modo, le identità esterne ricevono il ruolo che hai assegnato loro, non il ruolo predefinito.

Importante: il controllo accesso UI di Airflow supporta solo il formato dell'identificatore per identità singole. I gruppi e le identità con un attributo specifico non sono supportati.

Verificare se un ambiente supporta la federazione delle identità per la forza lavoro

Per verificare se il tuo ambiente supporta la federazione delle identità per la forza lavoro, esegui il comando seguente di Google Cloud CLI. Se l'output mostra un URI, l'ambiente supporta la federazione delle identità per la forza lavoro.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Sostituisci:

ENVIRONMENT_NAME con il nome dell'ambiente.
LOCATION con la regione in cui si trova l'ambiente.

Esempio:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Accedi alla pagina di Cloud Composer nella console Google Cloud

La console della federazione delle identità per la forza lavoro Google Cloud fornisce accesso alla pagina di Cloud Composer.

Dalla pagina Composer (Compositore) della console di federazione delle identità per la forza lavoro Google Cloud puoi accedere alla UI per la gestione degli ambienti, i log di Cloud Composer, il monitoraggio e la UI DAG.

Tutti i link alla UI di Airflow nella console federata puntano al punto di accesso della UI di Airflow per le identità esterne.

Gli ambienti con versioni precedenti alla 2.1.11 e/o Airflow precedenti alla 2.4.3 potrebbero avere i link alla UI di Airflow contrassegnati come "Non disponibile". Ciò indica che questo ambiente non supporta gli utenti della federazione delle identità della forza lavoro nella UI di Airflow. È possibile accedere alla UI di Airflow per questo ambiente solo con Account Google.

Accedi all'interfaccia utente di Airflow

Gli ambienti Cloud Composer hanno due URL per la UI di Airflow: uno per gli Account Google e un altro per le identità esterne. Le identità esterne devono accedere alla UI di Airflow tramite l'URL per le identità esterne.

L'URL per le identità esterne è https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.
L'URL degli Account Google è https://<UNIQUE_ID>.composer.googleusercontent.com.

Nota: gli account di servizio (puoi riconoscerli tramite identificatori che terminano con .iam.gserviceaccount.com) sono considerati Account Google. Utilizza l'indirizzo .composer.googleusercontent.com se vuoi lavorare con Airflow utilizzando un account di servizio Google. Vedi Accedere all'API Airflow utilizzando un account di servizio.

Solo gli utenti autenticati con identità esterne possono accedere all'URL per le identità esterne. Se un utente visita l'URL per le identità esterne senza aver eseguito l'accesso, viene prima reindirizzato al portale di autenticazione in cui specifica il nome del provider del pool di forza lavoro, quindi reindirizzato al proprio provider di identità per l'accesso e, infine, reindirizzato all'interfaccia utente Airflow dell'ambiente.

Accesso all'UI DAG nella console Google Cloud

L'UI DAG è disponibile per utenti con identità esterni come parte della console federata. Puoi controllare l'accesso con i criteri IAM.

Viene preso in considerazione anche l'accesso basato sui ruoli di Airflow negli ambienti con il supporto completo della federazione delle identità per la forza lavoro e può essere utilizzato per limitare i DAG visibili ai singoli utenti configurando i ruoli, come descritto in Utilizzo del controllo dell'accesso alla UI di Airflow.

Accedi a Google Cloud CLI

Per accedere al tuo ambiente tramite Google Cloud CLI, le identità esterne devono:

Accedi con Google Cloud CLI utilizzando un'identità esterna.
Esegui i comandi gcloud composer environments.

Accedi all'API Cloud Composer

L'API Cloud Composer può essere utilizzata con identità esterne per gestire tutti gli ambienti Composer con i metodi di autenticazione supportati come i token OAuth.

API REST Airflow

L'API REST di Airflow è disponibile nell'endpoint per le identità esterne con i metodi di autenticazione supportati, come i token OAuth.

Per ottenere l'URL dell'endpoint per le identità esterne per il tuo ambiente, utilizza il comando gcloud composer environments describe, come mostrato nella sezione Verificare se un ambiente supporta la federazione delle identità per la forza lavoro.