Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Auf dieser Seite wird beschrieben, wie Sie auf Ressourcen zugreifen, die sich in einem anderen Google Cloud-Projekt als Ihrer Cloud Composer-Umgebung befinden.
Wir empfehlen, auf Ressourcen in anderen Google Cloud-Projekten so zuzugreifen:
Verwenden Sie in Ihren DAGs die Standardverbindungen, die in Ihrer Umgebung vorkonfiguriert sind.
Die
google_cloud_default
-Verbindung wird beispielsweise von vielen Google Cloud-Betreibern verwendet und automatisch konfiguriert, wenn Sie eine Umgebung erstellen.Weisen Sie dem Dienstkonto Ihrer Umgebung zusätzliche IAM-Berechtigungen und Rollen zu, damit es auf Ressourcen in einem anderen Projekt zugreifen kann.
Dienstkonto Ihrer Umgebung ermitteln
So ermitteln Sie das Dienstkonto Ihrer Umgebung:
Console
Rufen Sie in der Google Cloud Console die Seite Umgebungen auf.
Klicken Sie in der Liste der Umgebungen auf den Namen Ihrer Umgebung. Die Seite Umgebungsdetails wird geöffnet.
Rufen Sie den Tab Umgebungskonfiguration auf.
Das Dienstkonto Ihrer Umgebung ist unter Das Feld Dienstkonto
Der Wert ist eine E-Mail-Adresse wie
service-account-name@example-project.iam.gserviceaccount.com
.
gcloud
gcloud composer environments describe ENVIRONMENT_NAME \
--location LOCATION \
--format="get(config.nodeConfig.serviceAccount)"
Der Wert ist eine E-Mail-Adresse wie
service-account-name@example-project.iam.gserviceaccount.com
IAM-Rollen und ‑Berechtigungen für den Zugriff auf Ressourcen in einem anderen Projekt gewähren
Das Dienstkonto Ihrer Umgebung benötigt Berechtigungen für den Zugriff in einem anderen Projekt. Diese Rollen und Berechtigungen können unterschiedlich sein basierend auf der Ressource, auf die Sie zugreifen möchten.
Auf eine bestimmte Ressource zugreifen
Wir empfehlen, Rollen und Berechtigungen für bestimmte Ressourcen zu gewähren, z. B. Einzelner Cloud Storage-Bucket in einem anderen Projekt Dabei wird der ressourcenbasierte Zugriff mit bedingten Rollenbindungen verwendet.
So greifen Sie auf eine bestimmte Ressource zu:
- Folgen Sie Leitfaden zum Konfigurieren des ressourcenbasierten Zugriffs
- Geben Sie beim Gewähren von Rollen und Berechtigungen an, Dienstkonto Ihrer Umgebung als Prinzipal.
Auf einen Ressourcentyp zugreifen
Alternativ können Sie Rollen und Berechtigungen basierend auf der Ressource gewähren. z. B. alle Cloud Storage-Buckets, die sich in einem anderen Projekt arbeiten.
So greifen Sie auf einen Ressourcentyp zu:
- Folgen Sie Zugriff auf andere Ressourcen verwalten.
- Geben Sie beim Gewähren von Rollen und Berechtigungen das Dienstkonto Ihrer Umgebung als Hauptbenutzer an.
Nachdem Sie die erforderlichen Berechtigungen und Rollen gewährt haben, können Sie auf Ressourcen zugreifen in Ein anderes Projekt mit denselben Airflow-Standardverbindungen mit denen Sie auf Ressourcen in dem Projekt zugreifen, in dem sich Ihre Umgebung befindet. befindet.
Nächste Schritte
- Zugriffssteuerung mit IAM
- Airflow-Verbindungen verwalten
- Einschränkungen für Ressourcenstandorte konfigurieren