Cloud Composer 1 befindet sich im Nachwartungsmodus. Google veröffentlicht keine weiteren Updates für Cloud Composer 1, einschließlich neuer Versionen von Airflow, Fehlerkorrekturen und Sicherheitsupdates. Wir empfehlen, die Migration zu Cloud Composer 2 zu planen.

Auf Ressourcen in einem anderen Projekt zugreifen

Cloud Composer 1 Cloud Composer 2

Auf dieser Seite wird beschrieben, wie Sie auf Ressourcen zugreifen, die sich in einem anderen Google Cloud-Projekt als Ihrer Cloud Composer-Umgebung befinden.

Wir empfehlen den folgenden Zugriff auf Ressourcen in anderen Google Cloud-Projekten:

Verwenden Sie in Ihren DAGs die Standardverbindungen, die in Ihrer Umgebung vorkonfiguriert sind.

Die google_cloud_default-Verbindung wird beispielsweise von vielen Google Cloud-Operatoren verwendet und beim Erstellen einer Umgebung automatisch konfiguriert.
Gewähren Sie dem Dienstkonto Ihrer Umgebung zusätzliche IAM-Berechtigungen und -Rollen, damit es auf Ressourcen in einem anderen Projekt zugreifen kann.

Dienstkonto der Umgebung ermitteln

So ermitteln Sie das Dienstkonto Ihrer Umgebung:

Console

Rufen Sie in der Google Cloud Console die Seite Umgebungen auf.

Zur Seite Umgebungen“
Klicken Sie in der Liste der Umgebungen auf den Namen Ihrer Umgebung. Die Seite Umgebungsdetails wird geöffnet.
Rufen Sie den Tab Umgebungskonfiguration auf.
Das Dienstkonto Ihrer Umgebung ist im Feld Dienstkonto aufgeführt.

Der Wert ist eine E-Mail-Adresse wie service-account-name@example-project.iam.gserviceaccount.com.

gcloud

gcloud composer environments describe ENVIRONMENT_NAME \
    --location LOCATION \
    --format="get(config.nodeConfig.serviceAccount)"

Der Wert ist eine E-Mail-Adresse wie service-account-name@example-project.iam.gserviceaccount.com.

IAM-Rollen und -Berechtigungen für den Zugriff auf Ressourcen in einem anderen Projekt gewähren

Das Dienstkonto Ihrer Umgebung benötigt Berechtigungen für den Zugriff auf Ressourcen in einem anderen Projekt. Diese Rollen und Berechtigungen können sich je nach Ressource unterscheiden, auf die Sie zugreifen möchten.

Auf eine bestimmte Ressource zugreifen

Wir empfehlen, Rollen und Berechtigungen für bestimmte Ressourcen zu gewähren, z. B. einen einzelnen Cloud Storage-Bucket in einem anderen Projekt. Bei diesem Ansatz verwenden Sie den ressourcenbasierten Zugriff mit bedingten Rollenbindungen.

So greifen Sie auf eine bestimmte Ressource zu:

Folgen Sie der Anleitung Ressourcenbasierten Zugriff konfigurieren.
Geben Sie beim Gewähren von Rollen und Berechtigungen das Dienstkonto Ihrer Umgebung als Hauptkonto an.

Auf Ressourcentyp zugreifen

Alternativ können Sie Rollen und Berechtigungen basierend auf dem Ressourcentyp gewähren, z. B. alle Cloud Storage-Buckets, die sich in einem anderen Projekt befinden.

So greifen Sie auf einen Ressourcentyp zu:

Folgen Sie der Anleitung Zugriff auf andere Ressourcen verwalten.
Geben Sie beim Gewähren von Rollen und Berechtigungen das Dienstkonto Ihrer Umgebung als Hauptkonto an.

Nachdem Sie die erforderlichen Berechtigungen und Rollen gewährt haben, können Sie auf Ressourcen in einem anderen Projekt mit denselben Standard-Airflow-Verbindungen zugreifen, mit denen Sie auf Ressourcen in dem Projekt zugreifen, in dem sich Ihre Umgebung befindet.