Cloud Composer 1 はメンテナンス後モードです。Google は、Airflow の新しいバージョン、バグの修正、セキュリティアップデートなど、Cloud Composer 1 への今後のアップデートはリリースしません。 Cloud Composer 2 への移行の計画をおすすめします。

Workforce Identity 連携を使用した環境へのアクセス

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

このページでは、Workforce Identity 連携を使用して Cloud Composer 環境へのユーザーアクセスを構成する方法について説明します。

Cloud Composer の Workforce Identity 連携について

Workforce Identity 連携では、外部 ID プロバイダ（IdP）を使用して、労働者（従業員、パートナー、請負業者などのユーザーグループ）を IAM で認証および認可し、ユーザーが Google Cloud サービスにアクセスできるようにします。Workforce Identity 連携の詳細については、Workforce Identity 連携をご覧ください。

プロジェクトで Workforce Identity 連携が構成されている場合、次の方法で環境にアクセスできます。

Google Cloud コンソールの Cloud Composer ページ
Airflow UI
Google Cloud CLI（Airflow CLI コマンドの実行を含む）
Cloud Composer API
Airflow REST API

始める前に

バージョン 2.1.11 と Airflow バージョン 2.4.3 以降に作成された新しい Cloud Composer 環境は、すべて Workforce Identity 連携をサポートしています。Workforce Identity 連携をサポートするために、環境を特定の方法で構成する必要はありません。

重要: Cloud Composer の Workforce Identity 連携サポートは、環境に外部 ID に対する新しいアクセスパスを自動的には提供しません。外部 ID プロバイダを介したアクセスを構成し、外部 ID にアクセス権を付与しない限り、外部 ID は環境にアクセスできません。
バージョン 2.1.11 および Airflow バージョン 2.4.3 より前に作成され、新しいバージョンにアップグレードされた環境は、Workforce Identity 連携をサポートしていません。お使いの環境が Workforce Identity 連携をサポートしているかどうかは、こちらの方法で確認できます。
環境のバケットには、Workforce Identity 連携の Cloud Storage の制限が適用されます。特に、外部 ID が DAG とファイルをこのバケットにアップロードできるようにするには、環境のバケットで均一なバケットレベルのアクセスを有効にする必要があります。
Airflow から送信されたメールには、Google アカウントの Airflow UI URL しか含まれていません。外部 ID は、外部 ID の Airflow UI URL からしか Airflow UI にアクセスできないため、リンクを調整する（外部 ID の URL に変更する）必要があります。

Workforce Identity 連携を使用して環境へのアクセスを設定する

このセクションでは、Cloud Composer 環境への外部 ID のアクセスを構成する手順について説明します。

ID プロバイダの設定

Workforce Identity 連携を構成するガイドに沿って、ID プロバイダの Workforce Identity 連携を構成します。

外部 ID に IAM ロールを付与する

Identity and Access Management で、IAM ロールを一連の外部 ID に付与して、環境にアクセスして操作できるようにします。

Cloud Composer に固有のロールの一覧については、ユーザーにロールを付与するをご覧ください。たとえば、環境ユーザーとストレージオブジェクト閲覧者（composer.environmentAndStorageObjectViewer）ロールでは、ユーザーが環境の表示、Airflow UI へのアクセス、DAG UI からの DAG の表示とトリガー、環境バケット内のオブジェクトを表示できるようにします。
これらのロールを外部ユーザーに割り当てる手順については、IAM ロールをプリンシパルに付与するをご覧ください。
IAM ポリシーで外部 ID を表す形式については、IAM ポリシーで Workforce プールユーザーを表すをご覧ください。

Airflow UI アクセス制御で、新しいユーザーが正しい Airflow のロールを受け取ることを確認する

Cloud Composer は、外部 ID の Airflow ユーザーを Google アカウントユーザーの場合と同じ方法で扱います。メールアドレスの代わりに、プリンシパル ID が使用されます。外部 ID が初めて Airflow UI にアクセスすると、Airflow ユーザーがデフォルトのロールで Airflow のロールベースのアクセス制御システムに自動的に登録されます。

Airflow UI アクセス制御で、新しいユーザーが正しい Airflow のロールを受け取ることを確認するこの場合は、次のどちらかを行ってください。

外部 ID が Airflow UI に初めてアクセスした後に、デフォルトのロールを受け取れるようにします。必要に応じて、Airflow 管理者ユーザーは、このロールを別のロールに変更できます。
ユーザー名とメールのフィールドをプリンシパル ID に設定して、Airflow ユーザーレコードを追加することで、必要な一連のロールを使用して外部 ID を事前登録します。このようにして、外部 ID はデフォルトのロールではなく、割り当てたロールを取得します。

重要: Airflow UI アクセス制御は、単一の ID の識別子形式のみをサポートしています。特定の属性を持つグループや ID はサポートされていません。

環境が Workforce Identity 連携をサポートしているかどうかを確認する

ご利用の環境が Workforce Identity 連携をサポートしているかどうかを確認するには、次の Google Cloud CLI コマンドを実行します。出力に URI が表示されている場合、お使いの環境では Workforce Identity 連携がサポートされています。

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

以下のように置き換えます。

ENVIRONMENT_NAME を環境の名前にする。
LOCATION は、環境が配置されているリージョン。

例:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Google Cloud コンソールの Cloud Composer ページにアクセスする

Google Cloud Workforce Identity 連携コンソールから、Cloud Composer ページにアクセスできます。

Google Cloud Workforce Identity 連携コンソールの [Composer] ページから、環境、Cloud Composer ログ、モニタリング、DAG UI を管理するための UI にアクセスできます。

連携コンソールの Airflow UI へのすべてのリンクは、外部 ID の Airflow UI アクセスポイントを指しています。

2.1.11 より前のバージョンの環境および/または 2.4.3 より前のバージョンの Airflow では、Airflow UI リンクが「利用不可」とマークされる場合があります。これは、この環境では、Airflow UI での Workforce Identity 連携ユーザーがサポートされていないことを示しています。この環境の Airflow UI には、Google アカウントでのみアクセスできます。

Airflow UI にアクセスする

Cloud Composer 環境には、Google アカウント用と外部 ID 用の 2 つの Airflow UI URL があります。外部 ID は、外部 ID の URL から Airflow UI にアクセスする必要があります。

外部 ID の URL は https://<UNIQUE_ID>.composer.byoid.googleusercontent.com です。
Google アカウントの URL は https://<UNIQUE_ID>.composer.googleusercontent.com です。

注: サービスアカウント（末尾が .iam.gserviceaccount.com の ID）は Google アカウントとみなされます。Google サービスアカウントを使用して Airflow を操作する場合は、.composer.googleusercontent.com アドレスを使用します。サービスアカウントを使用して Airflow API にアクセスするをご覧ください。

外部 ID の URL にアクセスできるのは、外部 ID で認証されたユーザーだけです。ユーザーがログインしていない状態で外部 ID の URL にアクセスすると、まず Workforce プールプロバイダ名を指定する認証ポータルにリダイレクトされます。つづいて、ログインのために ID プロバイダにリダイレクトされ、最終的に環境の Airflow UI にリダイレクトされます。

Google Cloud コンソールで DAG UI にアクセスする

DAG UI は、連携コンソールの一部として外部 ID ユーザーが使用できます。アクセスは、IAM ポリシーを使用して管理できます。

完全な Workforce Identity 連携サポートがある環境での Airflow のロールベースのアクセスも考慮され、Airflow UI アクセス制御の使用で説明しているように、ロールを設定することで個々のユーザーに表示される DAG を制限するために使用できます。

Google Cloud CLI にアクセスする

Google Cloud CLI を使用して環境にアクセスするには、外部 ID が次のことを行う必要があります。

外部 ID を使用して Google Cloud CLI でログインする。
gcloud composer environments コマンドを実行する。

Cloud Composer API にアクセスする

Cloud Composer API は、OAuth トークンなどのサポートされている認証方式で、外部 ID を使いすべての Composer 環境を管理するために使用できます。

Airflow REST API

Airflow REST API は、外部 ID のエンドポイントにおいて、OAuth トークンなどのサポートされている認証方式で使用できます。

環境の外部 ID 用エンドポイントの URL を取得するには、環境が Workforce Identity 連携をサポートしているかどうかを確認するセクションで示したように、gcloud composer environments describe コマンドを使用します。