Cloud Composer 1 befindet sich im Modus nach der Wartung. Google veröffentlicht keine weiteren Updates für Cloud Composer 1, einschließlich neuer Versionen von Airflow, Fehlerkorrekturen und Sicherheitsupdates. Wir empfehlen die Migration zu Cloud Composer 2.

Diese Seite wurde von der Cloud Translation API übersetzt.

Mit Mitarbeiteridentitätsföderation auf Umgebungen zugreifen

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Auf dieser Seite wird beschrieben, wie Sie den Nutzerzugriff auf Ihre Cloud Composer-Umgebung mit der Workforce Identity Federation konfigurieren.

Mitarbeiteridentitätsföderation in Cloud Composer

Mit der Mitarbeiteridentitätsföderation können Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden Mitarbeiter authentifizieren und autorisieren, z. B. eine Gruppe von Nutzern, z. B. Mitarbeitenden, Partnern und Auftragnehmern – mit IAM, damit die -Nutzer können auf Google Cloud-Dienste zugreifen. Weitere Informationen zu Mitarbeitern Identitätsföderation, siehe Mitarbeiteridentitätsföderation

Wenn die Mitarbeiteridentitätsföderation in Ihrem Projekt konfiguriert ist, können Sie auf Ihre Umgebung:

Seite „Cloud Composer“ in der Google Cloud Console
Airflow-UI
Google Cloud CLI, einschließlich Ausführen von Airflow-Befehlszeilenbefehlen
Cloud Composer API
Airflow REST API

Hinweise

Alle neuen Cloud Composer-Umgebungen, die ab Version 2.1.11 und Airflow-Version 2.4.3 erstellt wurden, unterstützen die Workforce Identity-Föderation. Sie müssen Ihr um die Mitarbeiteridentitätsföderation zu unterstützen.

Wichtig: Die Unterstützung der Mitarbeiteridentitätsföderation in Cloud Composer ermöglicht externen Identitäten nicht automatisch einen neuen Zugriffspfad auf Ihre Umgebung. Solange Sie keine Konfigurieren Sie den Zugriff über einen externen Identitätsanbieter und gewähren Sie Zugriff Berechtigungen für externe Identitäten gewährt, können die externen Identitäten nicht auf für Ihre Umgebung.
Vor Version erstellte Umgebungen 2.1.11 und Airflow-Version 2.4.3 und auf höhere Versionen aktualisiert unterstützen die Mitarbeiteridentitätsföderation nicht. Sie können Prüfen Sie, ob Ihre Umgebung die Mitarbeiteridentitätsföderation unterstützt.
Für den Bucket der Umgebung gelten die Cloud Storage-Einschränkungen für die Mitarbeiteridentitätsföderation. Insbesondere müssen Sie den einheitlichen Zugriff auf Bucket-Ebene aktivieren. auf den Bucket der Umgebung, damit externe Identitäten ihre DAGs und in diesen Bucket verschieben.
Von Airflow gesendete E-Mails enthalten nur die URL der Airflow-Benutzeroberfläche für Google-Konten. Weil Externe Identitäten können nur über die Airflow-UI auf die Airflow-UI zugreifen URL für externe Identitäten, der Link muss angepasst (geändert in die URL) für externe Identitäten).

Zugriff auf Ihre Umgebung mit der Workforce Identity-Föderation einrichten

In diesem Abschnitt wird beschrieben, wie Sie den Zugriff externer Identitäten auf Ihre Cloud Composer-Umgebung konfigurieren.

Identitätsanbieter konfigurieren

Konfigurieren Sie die Mitarbeiteridentitätsföderation für Ihren Identitätsanbieter, indem Sie und befolgen Sie die Anleitung unter Mitarbeiteridentitätsföderation konfigurieren.

Externen Identitäten IAM-Rollen zuweisen

Weisen Sie in Identity and Access Management (IAM) externen Identitäten IAM-Rollen zu, damit sie auf Ihre Umgebung zugreifen und mit ihr interagieren können:

Eine Liste der Cloud Composer-spezifischen Rollen finden Sie unter Nutzern Rollen gewähren. Beispiel: Der Parameter Umgebungsnutzer und Betrachter von Storage-Objekten Rolle (composer.environmentAndStorageObjectViewer) ermöglicht einem Nutzer Folgendes: Umgebungen ansehen, auf die Airflow-UI zugreifen, DAGs ansehen und auslösen von DAG-UI aufrufen und Objekte in Umgebungs-Buckets ansehen
Eine Anleitung zum Zuweisen dieser Rollen an externe Nutzer finden Sie unter Principals IAM-Rollen zuweisen.
Informationen zum Darstellen externer Identitäten in IAM-Richtlinien finden Sie unter Workforce-Pool-Nutzer in IAM-Richtlinien darstellen.

Prüfen, ob neue Nutzer in der Airflow-UI-Zugriffssteuerung die richtigen Airflow-Rollen erhalten

Cloud Composer behandelt Airflow-Nutzer für externe Identitäten genauso wie Google-Kontonutzer. Anstelle einer E-Mail-Adresse wird eine Haupt-ID verwendet. Wenn eine externe Identität zum ersten Mal auf die Airflow-Benutzeroberfläche zugreift, wird ein Airflow-Nutzer automatisch im Airflow-System für die rollenbasierte Zugriffssteuerung mit der Standardrolle registriert.

Prüfen Sie, ob neue Nutzer die richtigen Airflow-Rollen erhalten in Zugriffssteuerung in der Airflow-Benutzeroberfläche Es stehen zwei Optionen zur Verfügung:

Externen Identitäten die Standardrolle zuweisen, nachdem sie zum ersten Mal auf die Airflow-Benutzeroberfläche zugegriffen haben Bei Bedarf können Airflow-Administratoren diese Rolle einem anderen zuzuweisen.
Externe Identitäten mit einem Satz vorregistrieren der erforderlichen Rollen, indem Airflow-Nutzerdatensätze mit dem Nutzernamen und email-Feldern, die auf ihre Hauptkontokennungen festgelegt sind. So erhalten externe Identitäten die Rolle, die Sie ihnen zugewiesen haben, nicht die Standardrolle.

Wichtig: Die Zugriffssteuerung für die Airflow-Benutzeroberfläche unterstützt nur das ID-Format für einzelne Identitäten. Gruppen und Identitäten mit einem bestimmten Attribut werden nicht unterstützt.

Prüfen, ob eine Umgebung die Mitarbeiteridentitätsföderation unterstützt

Führen Sie den folgenden Befehl aus, um zu prüfen, ob Ihre Umgebung die Mitarbeiteridentitätsföderation unterstützt: folgenden Google Cloud CLI-Befehl. Wenn die Ausgabe einen URI enthält, die Mitarbeiteridentitätsföderation unterstützt.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Ersetzen Sie:

ENVIRONMENT_NAME durch den Namen der Umgebung.
LOCATION durch die Region, in der sich die Umgebung befindet.

Beispiel:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Cloud Composer-Seite in der Google Cloud Console aufrufen

Google Cloud-Konsole für Mitarbeiteridentitätsföderation Zugriff auf die Seite „Cloud Composer“.

Über die Seite Composer in der Google Cloud-Mitarbeiteridentitätsföderation können Sie auf die UI zugreifen, um Umgebungen zu verwalten, Cloud Composer-Logs, Monitoring und DAG-UI

Alle Links zur Airflow-UI in der föderierten Konsole verweisen auf die Airflow-UI Zugriffspunkt für externe Identitäten.

Bei Umgebungen mit Versionen vor 2.1.11 und/oder Airflow-Versionen vor 2.4.3 sind die Links zur Airflow-Benutzeroberfläche möglicherweise als „Nicht verfügbar“ gekennzeichnet. Das bedeutet, dass in dieser Umgebung keine Nutzer der Mitarbeiteridentitätsföderation in der Airflow-Benutzeroberfläche unterstützt werden. Airflow-UI dafür Der Zugriff auf die Umgebung ist nur mit Google-Konten möglich.

Auf Airflow-UI zugreifen

Cloud Composer-Umgebungen haben zwei URLs für die Airflow-UI: eine für Google-Konten und ein weiteres für externe Identitäten. Externe Identitäten müssen über die URL für externe Identitäten auf die Airflow-Benutzeroberfläche zugreifen.

Die URL für externe Identitäten lautet https://<UNIQUE_ID>.composer.byoid.googleusercontent.com
Die URL für Google-Konten lautet https://<UNIQUE_ID>.composer.googleusercontent.com.

Hinweis: Dienstkonten (Sie erkennen sie anhand von IDs, die auf .iam.gserviceaccount.com enden). gelten als Google-Konten. Verwenden Sie die .composer.googleusercontent.com-Adresse, wenn Sie mit Airflow über ein Google-Dienstkonto arbeiten möchten. Weitere Informationen finden Sie unter Airflow API mit einem Dienstkonto aufrufen.

Nur Nutzer, die mit externen Identitäten authentifiziert sind, können auf die URL für externe Identitäten zugreifen. Wenn ein Nutzer die URL für externe Identitäten aufruft Wenn er nicht angemeldet ist, wird er zuerst zum Authentifizierungsportal weitergeleitet in der sie den Namen des Personalpools angeben, zur Anmeldung an den Identitätsanbieter weitergeleitet an die Airflow-UI der Umgebung weitergeleitet.

In der Google Cloud Console auf die DAG-UI zugreifen

Die DAG-UI ist für externe Identitätsnutzer verfügbar Teil der föderierten Konsole sein. Sie können den Zugriff mit IAM-Richtlinien steuern.

Rollenbasierter Airflow-Zugriff in Umgebungen mit vollständiger Mitarbeiteridentität Auch die Föderationsunterstützung wird berücksichtigt und kann verwendet werden, um einzuschränken, DAGs sind für einzelne Nutzer sichtbar, indem Rollen eingerichtet werden, wie unter Airflow-UI-Zugriffssteuerung verwenden

Auf die Google Cloud CLI zugreifen

Für den Zugriff auf Ihre Umgebung über die Google Cloud CLI müssen externe Identitäten Gehen Sie so vor:

Melden Sie sich mit einer externen Identität in der Google Cloud CLI an.
gcloud composer environments-Befehle ausführen

Auf die Cloud Composer API zugreifen

Die Cloud Composer API kann mit externen Identitäten verwendet werden, um alle Composer-Umgebungen mit den unterstützten Authentifizierungsmethoden wie OAuth-Tokens zu verwalten.

Airflow REST API

Die Airflow REST API ist verfügbar unter Endpunkt für externe Identitäten mit dem unterstützten Authentifizierungsmethoden wie OAuth-Tokens.

So rufen Sie die URL des Endpunkts für externe Identitäten für Ihre Umgebung ab: verwenden Sie den Befehl gcloud composer environments describe, wie in der Prüfen, ob eine Umgebung die Mitarbeiteridentitätsföderation unterstützt .