访问其他项目中的资源

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

本页介绍了如何访问位于与 Cloud Composer 环境不同的Google Cloud 项目中的资源。

如果您想使用一个项目中的服务账号在另一个项目中运行环境,请参阅使用其他项目中的服务账号

如果您想使用 Airflow 操作符与 Cloud Composer 环境(包括其他项目中的环境)进行交互,请参阅在其他环境和项目中触发 DAG

我们建议您通过以下方式访问其他 Google Cloud 项目中的资源:

  1. 在 DAG 中,使用环境中预配置的默认连接。

    例如,许多Google Cloud 运算符都使用 google_cloud_default 连接,并且系统会在您创建环境时自动配置该连接。

  2. 环境的服务账号授予额外的 IAM 权限和角色,以便其可以访问其他项目中的资源。

确定环境的服务账号

如需确定环境的服务账号,请执行以下操作:

控制台

  1. 在 Google Cloud 控制台中,前往环境页面。

    转到“环境”

  2. 在环境列表中,点击您的环境名称。环境详情页面会打开。

  3. 转到环境配置标签页。

  4. 您环境的服务账号会列在服务账号字段中。

    此值为电子邮件地址,例如 service-account-name@example-project.iam.gserviceaccount.com

gcloud

gcloud composer environments describe ENVIRONMENT_NAME \
    --location LOCATION \
    --format="get(config.nodeConfig.serviceAccount)"

此值为电子邮件地址,例如 service-account-name@example-project.iam.gserviceaccount.com

授予 IAM 角色和权限以访问其他项目中的资源

您的环境的服务账号需要访问其他项目中的资源的权限。这些角色和权限可能会因您要访问的资源而异。

访问特定资源

我们建议您为特定资源(例如位于其他项目中的单个 Cloud Storage 存储桶)授予角色和权限。在此方法中,您将基于资源的访问权限与条件角色绑定搭配使用。

如需访问特定资源,请执行以下操作:

  1. 请按照配置基于资源的访问权限指南操作。
  2. 授予角色和权限时,请将环境的服务账号指定为正文。

访问资源类型

或者,您也可以根据资源类型(例如位于其他项目中的所有 Cloud Storage 存储分区)授予角色和权限。

如需访问某种资源类型,请执行以下操作:

  1. 请按照管理对其他资源的访问权限指南操作。
  2. 授予角色和权限时,请将环境的服务账号指定为正文。

授予所需权限和角色后,您可以访问其他项目中的资源,其中使用的默认 Airflow 连接与您用于访问环境所在项目中的资源相同。

后续步骤