Akses lingkungan dengan gabungan identitas tenaga kerja

Cloud Composer 1 | Cloud Composer 2

Halaman ini menjelaskan cara mengonfigurasi akses pengguna ke lingkungan Cloud Composer dengan penggabungan identitas tenaga kerja.

Tentang penggabungan identitas tenaga kerja di Cloud Composer

Gabungan identitas tenaga kerja memungkinkan Anda menggunakan Penyedia Identitas (IdP) eksternal untuk mengautentikasi dan memberi otorisasi kepada tenaga kerja—sekelompok pengguna, seperti karyawan, partner, dan kontraktor—menggunakan IAM, sehingga pengguna dapat mengakses layanan Google Cloud. Untuk informasi selengkapnya tentang penggabungan identitas tenaga kerja, lihat Penggabungan identitas tenaga kerja.

Jika penggabungan identitas tenaga kerja dikonfigurasi dalam project, Anda dapat mengakses lingkungan dengan cara berikut:

• Halaman Cloud Composer di Konsol Google Cloud
• UI Airflow
• Google Cloud CLI, termasuk menjalankan perintah Airflow CLI
• Cloud Composer API
• REST API Airflow

Sebelum memulai

• Semua lingkungan Cloud Composer baru yang dibuat mulai dari versi 2.1.11 dan Airflow versi 2.4.3 mendukung penggabungan identitas tenaga kerja. Anda tidak perlu mengonfigurasi lingkungan dengan cara tertentu untuk mendukung penggabungan identitas tenaga kerja.

• Lingkungan yang dibuat sebelum versi 2.1.11 dan Airflow versi 2.4.3 serta yang diupgrade ke versi yang lebih baru tidak mendukung penggabungan identitas tenaga kerja. Anda dapat memeriksa apakah lingkungan Anda mendukung penggabungan identitas tenaga kerja.

• Batasan Cloud Storage untuk penggabungan identitas tenaga kerja berlaku untuk bucket lingkungan. Secara khusus, Anda harus mengaktifkan akses level bucket seragam di bucket lingkungan agar identitas eksternal dapat mengupload DAG dan file ke bucket ini.

• Email yang dikirim dari Airflow hanya menyertakan URL UI Airflow untuk Akun Google. Karena identitas eksternal hanya dapat mengakses UI Airflow melalui URL UI Airflow untuk identitas eksternal, link tersebut harus disesuaikan (diubah menjadi URL untuk identitas eksternal).

Menyiapkan akses ke lingkungan Anda dengan federasi identitas tenaga kerja

Bagian ini menjelaskan langkah-langkah guna mengonfigurasi akses untuk identitas eksternal ke lingkungan Cloud Composer Anda.

Konfigurasikan penyedia identitas Anda

Konfigurasikan penggabungan identitas tenaga kerja untuk penyedia identitas dengan mengikuti panduan Mengonfigurasi penggabungan identitas tenaga kerja.

Memberikan peran IAM ke identitas eksternal

Dalam Identity and Access Management, berikan peran IAM ke kumpulan identitas eksternal, sehingga mereka dapat mengakses dan berinteraksi dengan lingkungan Anda:

• Untuk daftar peran khusus Cloud Composer, lihat Memberikan peran kepada pengguna. Misalnya, peran Environment User and Storage Object Viewer (composer.environmentAndStorageObjectViewer) memungkinkan pengguna untuk melihat lingkungan, mengakses UI Airflow, melihat dan memicu DAG dari DAG UI, serta melihat objek di bucket lingkungan.

• Untuk mengetahui petunjuk tentang cara menetapkan peran ini kepada pengguna eksternal, lihat Memberikan peran IAM ke akun utama.

• Untuk format yang merepresentasikan identitas eksternal dalam kebijakan IAM, lihat Merepresentasikan pengguna gabungan tenaga kerja dalam kebijakan IAM.

Pastikan pengguna baru menerima peran Airflow yang benar di Kontrol Akses UI Airflow

Cloud Composer menangani pengguna Airflow untuk identitas eksternal dengan cara yang sama seperti pengguna Akun Google. ID utama digunakan, bukan alamat email. Saat identitas eksternal mengakses UI Airflow untuk pertama kalinya, pengguna Airflow akan otomatis terdaftar di sistem kontrol akses berbasis peran Airflow dengan peran default.

Pastikan pengguna baru menerima peran Airflow yang benar di Airflow UI Access Control. Anda memiliki dua opsi:

• Mengizinkan identitas eksternal menerima peran default setelah mereka mengakses UI Airflow untuk pertama kalinya. Jika diperlukan, pengguna admin Airflow kemudian dapat mengubah peran ini ke peran lain.

• Lakukan pradaftar identitas eksternal dengan serangkaian peran yang diperlukan dengan menambahkan data pengguna Airflow beserta kolom nama pengguna dan email yang ditetapkan ke ID utama mereka. Dengan cara ini, identitas eksternal mendapatkan peran yang Anda tetapkan untuk mereka, bukan peran default.

Memeriksa apakah lingkungan mendukung penggabungan identitas tenaga kerja

Untuk memeriksa apakah lingkungan Anda mendukung penggabungan identitas tenaga kerja, jalankan perintah Google Cloud CLI berikut. Jika output menampilkan URI, berarti lingkungan Anda mendukung penggabungan identitas tenaga kerja.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Ganti:

• ENVIRONMENT_NAME dengan nama lingkungan.
• LOCATION dengan wilayah tempat lingkungan berada.

Contoh:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Mengakses halaman Cloud Composer di Konsol Google Cloud

Konsol penggabungan identitas tenaga kerja Google Cloud menyediakan akses ke halaman Cloud Composer.

Dari halaman Composer di konsol gabungan identitas tenaga kerja Google Cloud, Anda dapat mengakses UI untuk mengelola lingkungan, log Cloud Composer, pemantauan, dan UI DAG.

Semua link ke UI Airflow di konsol gabungan mengarah ke titik akses UI Airflow untuk identitas eksternal.

Lingkungan pada versi sebelum 2.1.11 dan atau versi Airflow yang lebih lama dari 2.4.3 mungkin memiliki link UI Airflow yang ditandai sebagai "Not available". Hal ini menunjukkan bahwa lingkungan ini tidak mendukung pengguna federasi identitas tenaga kerja di UI Airflow. UI Airflow untuk lingkungan ini hanya dapat diakses dengan Akun Google.

Mengakses UI Airflow

Lingkungan Cloud Composer memiliki dua URL untuk UI Airflow: satu untuk Akun Google dan satu lagi untuk identitas eksternal. Identitas eksternal harus mengakses UI Airflow melalui URL untuk identitas eksternal.

• URL untuk identitas eksternal adalah https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.

• URL untuk akun Google adalah https://<UNIQUE_ID>.composer.googleusercontent.com.

Hanya pengguna yang diautentikasi dengan identitas eksternal yang dapat mengakses URL untuk identitas eksternal. Jika pengguna mengunjungi URL untuk identitas eksternal tanpa login, pertama-tama pengguna akan dialihkan ke portal autentikasi tempat mereka menentukan nama penyedia kumpulan tenaga kerja, lalu mereka akan dialihkan ke penyedia identitas untuk login, dan akhirnya dialihkan ke UI Airflow lingkungan tersebut.

Mengakses DAG UI di Konsol Google Cloud

UI DAG tersedia untuk pengguna identitas eksternal sebagai bagian dari konsol federasi. Anda dapat mengontrol akses dengan kebijakan IAM.

Akses berbasis peran Airflow di lingkungan dengan dukungan penggabungan identitas tenaga kerja penuh juga dipertimbangkan dan dapat digunakan untuk membatasi DAG mana yang terlihat oleh setiap pengguna dengan menyiapkan peran, seperti yang dijelaskan dalam Menggunakan Kontrol Akses UI Airflow.

Mengakses Google Cloud CLI

Untuk mengakses lingkungan Anda melalui Google Cloud CLI, identitas eksternal harus melakukan hal berikut:

1. Login dengan Google Cloud CLI menggunakan identitas eksternal.
2. Jalankan perintah gcloud composer environments.

Mengakses Cloud Composer API

Cloud Composer API dapat digunakan dengan identitas eksternal untuk mengelola semua lingkungan Composer dengan metode autentikasi yang didukung, seperti token OAuth.

REST API Airflow

Airflow REST API tersedia di endpoint untuk identitas eksternal dengan metode autentikasi yang didukung seperti token OAuth.

Guna mendapatkan URL endpoint untuk identitas eksternal lingkungan Anda, gunakan perintah gcloud composer environments describe, seperti yang ditunjukkan di bagian Memeriksa apakah lingkungan mendukung penggabungan identitas tenaga kerja.

Langkah selanjutnya

• Kontrol akses dengan IAM
• Menggunakan Kontrol Akses UI Airflow
• Mengakses Airflow CLI
• Mengakses Airflow REST API