Cloud Composer 1 se encuentra en modo posterior a mantenimiento. Google no publica más actualizaciones de Cloud Composer 1, incluidas las nuevas versiones de Airflow, las correcciones de errores y las actualizaciones de seguridad. Recomendamos planificar la migración a Cloud Composer 2.

Accede a entornos con federación de identidades de personal

Cloud Composer 1 | Cloud Composer 2

En esta página, se describe cómo configurar el acceso de los usuarios a tu entorno de Cloud Composer con la federación de identidades de personal.

Acerca de la federación de identidades de personal en Cloud Composer

La federación de identidades de personal te permite usar un proveedor de identidad externo (IdP) para autenticar y autorizar a un personal (un grupo de usuarios, como empleados, socios y contratistas) que usa IAM para que los usuarios puedan acceder a los servicios de Google Cloud. Para obtener más información sobre la federación de identidades del personal, consulta Federación de identidades de personal.

Si la federación de identidades de personal está configurada en tu proyecto, puedes acceder a tu entorno de las siguientes maneras:

Página de Cloud Composer en la consola de Google Cloud
IU de Airflow
Google Cloud CLI, incluida la ejecución de comandos de la CLI de Airflow
API de Cloud Composer
API de REST de Airflow

Antes de comenzar

Todos los entornos nuevos de Cloud Composer creados a partir de la versión 2.1.11 y la versión 2.4.3 de Airflow admiten la federación de identidades de personal. No necesitas configurar el entorno de ninguna manera específica para admitir la federación de identidades del personal.

Importante: La compatibilidad con la federación de identidades de personal en Cloud Composer no proporciona de forma automática una nueva ruta de acceso para las identidades externas a tu entorno. Siempre que no configures el acceso a través de un proveedor de identidad externo y otorgues permisos de acceso a identidades externas, estas no podrán acceder a tu entorno.
Los entornos creados antes de la versión 2.1.11 y de Airflow en la versión 2.4.3, y actualizados a versiones posteriores no admiten la federación de identidades de personal. Puedes verificar si tu entorno admite la federación de identidades de personal.
Las limitaciones de Cloud Storage para la federación de identidades de personal se aplican al bucket del entorno. En particular, debes habilitar el acceso uniforme a nivel de bucket en el bucket del entorno para permitir que las identidades externas suban sus DAG y archivos a este bucket.
Los correos electrónicos enviados desde Airflow solo incluyen la URL de la IU de Airflow para Cuentas de Google. Debido a que las identidades externas solo pueden acceder a la IU de Airflow a través de la URL de la IU de Airflow para las identidades externas, el vínculo se debe ajustar (cambiar a la URL para las identidades externas).

Configura el acceso a tu entorno con la federación de identidades de personal

En esta sección, se describen los pasos para configurar el acceso de identidades externas a tu entorno de Cloud Composer.

Configura tu proveedor de identidad

Configura la federación de identidades de personal para tu proveedor de identidad con la guía Configura la federación de identidades de personal.

Otorga roles de IAM a identidades externas

En Identity and Access Management, otorga funciones de IAM a conjuntos de identidades externas para que puedan acceder e interactuar con tu entorno:

Para obtener una lista de funciones específicas de Cloud Composer, consulta Otorga funciones a los usuarios. Por ejemplo, la función de usuario del entorno y visualizador de objetos de almacenamiento (composer.environmentAndStorageObjectViewer) permite que un usuario vea entornos, acceda a la IU de Airflow, visualice y active DAG desde la IU de DAG y vea objetos en buckets de entornos.
Para obtener instrucciones sobre cómo asignar estos roles a usuarios externos, consulta Otorga funciones de IAM a principales.
Si quieres obtener un formato para representar identidades externas en las políticas de IAM, consulta Representa a los usuarios del grupo de trabajadores en las políticas de IAM.

Verificar que los usuarios nuevos reciban los roles correctos de Airflow en el control de acceso de la IU de Airflow

Cloud Composer maneja a los usuarios de Airflow para las identidades externas de la misma manera que los usuarios de Cuentas de Google. En lugar de una dirección de correo electrónico, se usa un identificador principal. Cuando una identidad externa accede a la IU de Airflow por primera vez, se registra automáticamente un usuario de Airflow en el sistema de control de acceso basado en roles de Airflow con la función predeterminada.

Comprueba que los usuarios nuevos reciban los roles de Airflow correctos en Control de acceso a la IU de Airflow. Tienes dos opciones:

Permitir que las identidades externas reciban la función predeterminada después de que accedan a la IU de Airflow por primera vez Si es necesario, los usuarios administradores de Airflow pueden cambiar esta función a una diferente.
Registra previamente las identidades externas con un conjunto de funciones necesarias. Para ello, agrega registros de usuario de Airflow con el nombre de usuario y los campos de correo electrónico establecidos en sus identificadores principales. De esta manera, las identidades externas obtienen la función que les asignaste, y no la función predeterminada.

Importante: El control de acceso a la IU de Airflow solo admite el formato de identificador para identidades individuales. No se admiten las identidades y los grupos con un atributo específico.

Verifica si un entorno admite la federación de identidades de personal

Para verificar si tu entorno admite la federación de identidades del personal, ejecuta el siguiente comando de Google Cloud CLI. Si el resultado muestra un URI, significa que tu entorno admite la federación de identidades de personal.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Reemplaza lo siguiente:

ENVIRONMENT_NAME por el nombre del entorno.
LOCATION por la región en la que se encuentra el entorno

Ejemplo:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Acceder a la página de Cloud Composer en la consola de Google Cloud

La consola de la federación de identidades de personal de Google Cloud proporciona acceso a la página de Cloud Composer.

Desde la página Composer en la consola de federación de identidades de personal de Google Cloud, puedes acceder a la IU para administrar entornos, registros de Cloud Composer, supervisión y IU de DAG.

Todos los vínculos a la IU de Airflow en la consola federada apuntan al punto de acceso de la IU de Airflow para las identidades externas.

Los entornos de versiones anteriores a la 2.1.11 o de Airflow anteriores a la 2.4.3 pueden tener los vínculos de la IU de Airflow marcados como "No disponible". Esto indica que este entorno no admite usuarios de federación de identidades de personal en la IU de Airflow. Solo se puede acceder a la IU de Airflow para este entorno con Cuentas de Google.

Acceso a la IU de Airflow

Los entornos de Cloud Composer tienen dos URL para la IU de Airflow: una destinada a las Cuentas de Google y otra a las identidades externas. Las identidades externas deben acceder a la IU de Airflow a través de la URL para las identidades externas.

La URL para las identidades externas es https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.
La URL de las Cuentas de Google es https://<UNIQUE_ID>.composer.googleusercontent.com.

Nota: Las cuentas de servicio (puedes reconocerlas por identificadores que terminan en .iam.gserviceaccount.com) se consideran Cuentas de Google. Usa la dirección .composer.googleusercontent.com si quieres trabajar con Airflow mediante una cuenta de servicio de Google. Consulta Cómo acceder a la API de Airflow mediante una cuenta de servicio.

Solo los usuarios autenticados con identidades externas pueden acceder a la URL para identidades externas. Si un usuario visita la URL de identidades externas sin acceder, primero se lo redirecciona al portal de autenticación en el que especifica el nombre del proveedor del grupo de trabajadores, luego se lo redirecciona a su proveedor de identidad para acceder y, por último, se lo redirecciona a la IU de Airflow del entorno.

Accede a la IU del DAG en la consola de Google Cloud

La IU de DAG está disponible para usuarios de identidad externos como parte de la consola federada. Puedes controlar el acceso con las políticas de IAM.

También se tiene en cuenta el acceso basado en funciones de Airflow en los entornos con compatibilidad total con la federación de identidades del personal, que se puede usar a fin de limitar los DAG que sean visibles para los usuarios individuales mediante la configuración de funciones, como se describe en Usa el control de acceso de la IU de Airflow.

Accede a Google Cloud CLI

Para acceder a tu entorno a través de Google Cloud CLI, las identidades externas deben hacer lo siguiente:

Accede con Google Cloud CLI a través de una identidad externa.
Ejecuta los comandos gcloud composer environments.

Accede a la API de Cloud Composer

La API de Cloud Composer se puede usar con identidades externas para administrar todos los entornos de Composer con los métodos de autenticación compatibles, como los tokens de OAuth.

API de REST de Airflow

La API de REST de Airflow está disponible en el extremo para identidades externas con los métodos de autenticación compatibles, como los tokens de OAuth.

A fin de obtener la URL del extremo para las identidades externas de tu entorno, usa el comando gcloud composer environments describe, como se muestra en la sección Verifica si un entorno admite la federación de identidades del personal.