Cloud Composer 1 est en mode post-maintenance. Google ne publie aucune autre mise à jour de Cloud Composer 1, y compris les nouvelles versions d'Airflow, les corrections de bugs et les mises à jour de sécurité. Nous vous recommandons de planifier la migration vers Cloud Composer 2.

Cette page a été traduite par l'API Cloud Translation.

Accéder aux ressources d'un autre projet

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Cette page explique comment accéder aux ressources situées dans un projet Google Cloud différent de votre environnement Cloud Composer.

Nous vous recommandons d'accéder aux ressources d'autres projets Google Cloud comme suit :

Dans vos DAG, utilisez les connexions par défaut préconfigurées dans vos environnement.

Par exemple, la connexion google_cloud_default est utilisée par de nombreux opérateurs Google Cloud et est automatiquement configurée lorsque vous créez un environnement.
Accordez des autorisations et des rôles IAM supplémentaires au compte de service de votre environnement afin qu'il puisse accéder aux ressources d'un autre projet.

Déterminer le compte de service de votre environnement

Pour déterminer le compte de service de votre environnement:

Console

Dans la console Google Cloud, accédez à la page Environnements.

Accéder à la page Environnements
Dans la liste des environnements, cliquez sur le nom de votre environnement. La page Détails de l'environnement s'ouvre.
Accédez à l'onglet Configuration de l'environnement.
Le compte de service de votre environnement est listé dans le champ Compte de service.

La valeur est une adresse e-mail, telle que service-account-name@example-project.iam.gserviceaccount.com

gcloud

gcloud composer environments describe ENVIRONMENT_NAME \
    --location LOCATION \
    --format="get(config.nodeConfig.serviceAccount)"

La valeur est une adresse e-mail, telle que service-account-name@example-project.iam.gserviceaccount.com

Accorder des rôles et des autorisations IAM pour accéder aux ressources d'un autre projet

Le compte de service de votre environnement nécessite des autorisations pour accéder aux ressources d'un autre projet. Ces rôles et autorisations peuvent être différents en fonction de la ressource à laquelle vous souhaitez accéder.

Accéder à une ressource spécifique

Nous vous recommandons d'accorder des rôles et des autorisations pour des ressources spécifiques, comme un seul bucket Cloud Storage situé dans un autre projet. Dans ce vous utilisez un accès basé sur les ressources avec des liaisons de rôles conditionnelles.

Pour accéder à une ressource spécifique:

Suivez le guide Configurer un accès basé sur les ressources.
Lorsque vous attribuez des rôles et des autorisations, compte de service de votre environnement en tant que principal.

Accéder à un type de ressource

Vous pouvez également attribuer des rôles et des autorisations en fonction de la ressource comme tous les buckets Cloud Storage situés dans un autre projet.

Pour accéder à un type de ressource:

Suivez le Guide Gérer l'accès à d'autres ressources.
Lorsque vous attribuez des rôles et des autorisations, compte de service de votre environnement en tant que principal.

Une fois que vous avez accordé les autorisations et les rôles requis, vous pouvez accéder aux ressources d'un autre projet avec les mêmes connexions Airflow par défaut que celles utilisées pour accéder aux ressources du projet dans lequel se trouve votre environnement.