Cloud Composer 1 est en mode post-maintenance. Google ne publie aucune autre mise à jour de Cloud Composer 1, y compris les nouvelles versions d'Airflow, les corrections de bugs et les mises à jour de sécurité. Nous vous recommandons de planifier la migration vers Cloud Composer 2.

Cette page a été traduite par l'API Cloud Translation.

Utiliser le contrôle des accès à l'interface utilisateur d'Airflow

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Cette page décrit différents mécanismes de contrôle des accès pour l'interface utilisateur d'Airflow et l'UI du DAG. Vous pouvez utiliser ces mécanismes, en plus du contrôle des accès fournies par IAM, pour séparer les utilisateurs Interface utilisateur d'Airflow et de DAG de votre environnement

Présentation du contrôle des accès à l'interface utilisateur d'Airflow dans Cloud Composer

Un accès à l'interface utilisateur Airflow et à l'interface utilisateur du DAG la visibilité des données et des opérations dans ces interfaces utilisateur est contrôlée à deux niveaux dans Cloud Composer:

L'accès à l'UI Airflow et à l'UI du DAG dans Cloud Composer est contrôlés par IAM.

Si un compte ne dispose pas d'un rôle afficher les environnements Cloud Composer dans votre les interfaces utilisateur Airflow et DAG ne sont pas disponibles.

IAM ne fournit pas d'API le contrôle des autorisations dans l'UI d'Airflow ou de DAG.
Le modèle de contrôle des accès Apache Airflow permet réduire la visibilité dans les interfaces utilisateur Airflow et DAG en fonction du rôle utilisateur.

Le contrôle des accès Apache Airflow est une fonctionnalité d'Airflow, avec sa modèle d'utilisateurs, de rôles et d'autorisations, qui diffère Cloud IAM.

Le contrôle des accès Apache Airflow utilise des autorisations basées sur les ressources. Tout Airflow Les utilisateurs disposant d'un rôle Airflow spécifique obtiennent les autorisations de ce rôle. Par exemple : Utilisateurs Airflow disposant d'un rôle doté de l'autorisation can delete on Connections peuvent supprimer des connexions sur la page "Connexions" de l'interface utilisateur Airflow.

Vous pouvez également attribuer Autorisations au niveau du DAG pour les DAG individuels Pour Ainsi, seuls les utilisateurs disposant d'un rôle Airflow spécifique peuvent voir un DAG donné. dans l'interface utilisateur d'Airflow. Dans Cloud Composer, vous pouvez attribuer automatiquement des autorisations au niveau du DAG ; en fonction du sous-dossier contenant le fichier DAG bucket.

Si vous souhaitez configurer l'accès pour des identités externes via fédération des identités des employés, d'abord accorder l'accès à votre environnement dans IAM, comme décrit dans Accorder des rôles IAM à des identités externes . Vous pouvez ensuite utiliser le contrôle des accès à l'interface utilisateur d'Airflow comme d'habitude. Les utilisateurs Airflow pour les identités externes utilisent plutôt leur identifiant de compte principal de l'adresse e-mail, et renseigner des valeurs différentes dans les autres champs que les comptes Google.

Avant de commencer

L'enregistrement des rôles par dossier est disponible dans Cloud Composer 2.0.16 et versions ultérieures.

Gérer les rôles Airflow et les paramètres de contrôle des accès

Les utilisateurs disposant du rôle Administrateur (ou équivalent) peuvent afficher et modifier le contrôle des accès dans l'interface utilisateur d'Airflow.

Dans l'interface utilisateur d'Airflow, vous pouvez configurer les paramètres de contrôle des accès le menu Sécurité. Pour en savoir plus sur le contrôle des accès les autorisations disponibles et les rôles par défaut, consultez les Documentation sur le contrôle des accès à l'interface utilisateur Airflow

Airflow gère sa propre liste d'utilisateurs. Utilisateurs disposant d'un accès administrateur (ou équivalent) peut consulter la liste des utilisateurs qui ont ouvert l'interface utilisateur d'Airflow d'un environnement et ont été enregistrés dans Airflow. Cette liste comprend également les utilisateurs manuellement préenregistrée par un administrateur, comme décrit dans la section suivante.

Enregistrer des utilisateurs dans l'interface utilisateur d'Airflow

Les nouveaux utilisateurs sont automatiquement enregistrés lorsqu'ils ouvrent l'interface utilisateur Airflow d'un Cloud Composer pour la première fois.

Lors de l'inscription, les utilisateurs se voient attribuer le rôle spécifié dans le [webserver]rbac_user_registration_role : option de configuration Airflow. Vous pouvez contrôler le rôle des utilisateurs nouvellement inscrits en remplaçant ce paramètre ; Option de configuration Airflow avec une valeur différente.

S'il n'est pas spécifié, le rôle d'enregistrement par défaut est Op dans les environnements avec Airflow 2.

Les étapes suivantes sont recommandées pour créer une configuration de rôle de base pour l'interface utilisateur d'Airflow:

Les administrateurs de l'environnement ouvrent l'interface utilisateur Airflow pour le nouvel élément environnement.
Attribuer le rôle Admin aux comptes administrateur. Le rôle par défaut pour les nouveaux comptes dans les environnements avec Airflow 2 est Op. Pour attribuer le rôle Admin, exécutez la commande suivante : Commande CLI Airflow avec gcloud:
```
  gcloud composer environments run ENVIRONMENT_NAME \
    --location LOCATION \
    users add-role -- -e USER_EMAIL -r Admin
```
Remplacez :
- ENVIRONMENT_NAME par le nom de l'environnement.
- LOCATION par la région dans laquelle se trouve l'environnement.
- USER_EMAIL par l'adresse e-mail d'un compte utilisateur.
Les administrateurs peuvent désormais configurer le contrôle des accès pour les nouveaux utilisateurs, ce qui inclut l'attribution du rôle Admin à d'autres utilisateurs.

Préenregistrer les utilisateurs

Les utilisateurs sont automatiquement inscrits auprès de identifiants numériques des comptes utilisateur Google adresses e-mail) comme nom d'utilisateur. Vous pouvez aussi préinscrire manuellement un utilisateur et attribuez-leur un rôle en ajoutant un enregistrement utilisateur avec le champ "username" défini à l'adresse e-mail principale de l'utilisateur. Lorsqu'un utilisateur disposant d'une adresse e-mail la mise en correspondance d'un enregistrement utilisateur préinscrit avec l'interface utilisateur d'Airflow pour la première fois, son nom d'utilisateur est remplacé par l'identifiant actuel de la première connexion) identifiés par leur adresse e-mail. La relation entre Identités Google (adresses e-mail) et comptes utilisateur (User-ID) n'est pas fixe. Les groupes Google ne peuvent pas être préenregistrés.

Pour préinscrire des utilisateurs, vous pouvez utiliser l'interface utilisateur Airflow ou exécuter une commande de CLI Airflow. via la Google Cloud CLI.

Pour préenregistrer un utilisateur avec un rôle personnalisé via la Google Cloud CLI, exécutez la commande CLI Airflow suivante:

gcloud composer environments run ENVIRONMENT_NAME \
  --location LOCATION \
  users create -- \
  -r ROLE \
  -e USER_EMAIL \
  -u USER_EMAIL \
  -f FIRST_NAME \
  -l LAST_NAME \
  --use-random-password # The password value is required, but is not used

Remplacez les éléments suivants :

ENVIRONMENT_NAME: nom de l'environnement
LOCATION: région où se trouve l'environnement
ROLE: rôle Airflow pour l'utilisateur (par exemple, Op)
USER_EMAIL: adresse e-mail de l'utilisateur
FIRST_NAME et LAST_NAME: prénom et nom de l'utilisateur

Exemple :

gcloud composer environments run example-environment \
  --location us-central1 \
  users create -- \
  -r Op \
  -e "example-user@example.com" \
  -u "example-user@example.com" \
  -f "Name" \
  -l "Surname" \
  --use-random-password

Supprimer des comptes utilisateur

La suppression d'un utilisateur d'Airflow ne révoque pas son accès, car il sont automatiquement réenregistrés la prochaine fois qu'ils accéderont à l'interface utilisateur d'Airflow. À révoquez l'accès à l'ensemble de l'interface utilisateur d'Airflow, supprimez composer.environments.get l'autorisation de leur règle d'autorisation pour votre projet.

Vous pouvez aussi définir le rôle de l'utilisateur sur "Public", ce qui permet de conserver l'inscription de l'utilisateur, mais supprime toutes les autorisations pour l'interface utilisateur Airflow.

Configurer automatiquement les autorisations au niveau du DAG

La fonctionnalité d'enregistrement des rôles par dossier crée automatiquement un Rôle Airflow personnalisé pour chaque sous-dossier directement dans le dossier /dags et accorde à ce rôle un accès au niveau du DAG à tous DAG dont le fichier source est stocké dans ce sous-dossier respectif. Ce simplifie la gestion des rôles Airflow personnalisés et leur accès aux DAG.

Fonctionnement de l'enregistrement des rôles par dossier

L'enregistrement des rôles par dossier est un moyen automatisé de configurer et leurs autorisations au niveau du DAG. Par conséquent, elle peut entraîner des conflits avec d'autres mécanismes Airflow qui accordent des autorisations au niveau du DAG:

Attribuez manuellement des autorisations DAG aux rôles.
Affecter des DAG à des rôles via la propriété access_control d'un DAG

Pour éviter de tels conflits, l'activation de l'enregistrement des rôles par dossier modifie le comportement de ces mécanismes.

Dans Airflow 2:

Vous pouvez accorder au DAG l'accès aux rôles via la propriété access_control définies dans le code source du DAG.
Accorder manuellement des autorisations DAG (via l'interface utilisateur d'Airflow ou gcloud CLI) peuvent provoquer des conflits. Par exemple, si vous accorder manuellement des autorisations au niveau du DAG à un rôle par dossier, les autorisations peuvent être supprimées ou remplacées lorsque le processeur DAG synchronise un DAG. Nous vous recommandons de ne pas accorder manuellement les autorisations liées aux DAG.
Les rôles possèdent une union d'autorisations d'accès au DAG enregistrées via les autorisations par dossier Enregistrement des rôles et défini dans la propriété access_control de le DAG.

Les DAG situés directement dans le dossier /dags racine ne sont pas attribués automatiquement n'importe quel rôle par dossier. Ils ne sont accessibles qu'avec un rôle par dossier. Autre des rôles (Administrateur, Opération, Utilisateur, etc.) ou un rôle personnalisé disposant d'autorisations y accéder via les interfaces utilisateur Airflow et DAG.

Si vous importez des DAG dans des sous-dossiers dont le nom correspond aux rôles Airflow intégrés et les rôles créés par Cloud Composer, ainsi que les autorisations associées aux DAG ces sous-dossiers sont toujours attribués à ces rôles. Par exemple, si vous importez un Le DAG sur le dossier /dags/Admin accorde les autorisations nécessaires à ce DAG à l'administrateur rôle de ressource. Les rôles Airflow intégrés incluent les rôles Administrateur, Opération, Utilisateur, Lecteur et Public. Cloud Composer crée les NoDags et UserNoDags après le paramètre "Per-folder" La fonctionnalité d'enregistrement des rôles est activée.

Airflow effectue l'enregistrement des rôles par dossier lors du traitement des DAG dans le programmeur Airflow. S'il y a plus d'une centaine de DAG dans votre vous verrez peut-être d'augmentation du temps d'analyse des DAG Dans ce cas, nous vous recommandons utiliser davantage de mémoire et de processeur pour les programmeurs. Toi permet aussi d'augmenter la valeur de la classe Airflow [scheduler]parsing_processes .

Attribuer automatiquement des DAG aux rôles par dossier

Pour attribuer automatiquement des DAG à des rôles par dossier:

Remplacez l'option de configuration Airflow suivante:

Section Clé Valeur

webserver rbac_autoregister_per_folder_roles True
Remplacez le rôle d'enregistrement de l'utilisateur par un rôle sans accès aux DAG. Ainsi, les nouveaux utilisateurs n'ont accès à aucun DAG tant qu'un administrateur attribue à ses comptes un rôle qui dispose d'autorisations pour des DAG spécifiques.

Le rôle "UserNoDags" est créé par Cloud Composer uniquement La fonctionnalité d'enregistrement des rôles par dossier est activée. Elle équivaut à la fonction mais sans accès aux DAG.

Remplacez l'option de configuration Airflow suivante:

Section Clé Valeur

webserver rbac_user_registration_role UserNoDags
Assurez-vous que les utilisateurs sont enregistrés dans Airflow.
Attribuez des rôles aux utilisateurs à l'aide de l'une des approches suivantes:
- Laissez Airflow créer automatiquement des rôles basés sur les sous-dossiers des DAG, puis attribuez ces rôles à des utilisateurs.
- Précréer des rôles vides pour les sous-dossiers des DAG, avec des noms de rôles correspondants le nom d'un sous-dossier, puis attribuez des utilisateurs à ces rôles. Par exemple : Pour le dossier /dags/CustomFolder, créez un rôle nommé CustomFolder
Attention :Un utilisateur qui a créé un dossier avec des DAG n'obtient pas automatiquement le rôle pour chaque dossier. Par exemple, si un utilisateur crée un nommé CustomFolder, son compte ne reçoit pas l'objet CustomFolder rôle de ressource. Un administrateur doit accorder ce rôle dans l'interface utilisateur d'Airflow.
Importez des DAG dans des sous-dossiers dont les noms correspondent aux rôles attribués aux utilisateurs. Ces sous-dossiers doivent se trouver dans le dossier /dags du sous-dossier bucket de l'environnement. Airflow ajoute des autorisations aux DAG afin que seuls les utilisateurs disposant du rôle correspondant puissent y accéder via les interfaces utilisateur Airflow et DAG.

Section	Clé	Valeur
`webserver`	`rbac_autoregister_per_folder_roles`	`True`

Section	Clé	Valeur
`webserver`	`rbac_user_registration_role`	`UserNoDags`

Configurer manuellement les autorisations au niveau du DAG

Vous pouvez configurer Les autorisations au niveau du DAG pour les rôles personnalisés pour spécifier les DAG visibles par des groupes d'utilisateurs spécifiques.

Pour configurer les autorisations au niveau du DAG dans l'interface utilisateur d'Airflow:

L'administrateur crée des rôles vides pour regrouper les DAG.
L'administrateur attribue les utilisateurs aux rôles appropriés.
L'administrateur ou les utilisateurs attribuent les DAG aux rôles.
Dans l'interface utilisateur d'Airflow, les utilisateurs ne peuvent voir que les DAG attribués à leur groupe.

Les DAG peuvent être attribués à des rôles via les propriétés du DAG Interface utilisateur d'Airflow

Attribuer des DAG à des rôles dans l'interface utilisateur d'Airflow

Un administrateur peut attribuer les autorisations requises au niveau du DAG aux rôle(s) dans l'interface utilisateur d'Airflow.

Cette opération n'est pas possible dans l'interface utilisateur du DAG.

Attribuer des DAG aux rôles en utilisant les propriétés de DAG

Vous pouvez définir le paramètre Paramètre DAG access_control sur un DAG, spécifiant l'option le ou les rôles de regroupement des DAG auxquels le DAG est attribué.

Dans les versions d'Airflow 2 antérieures à la version 2.1.0, l'administrateur, le développeur DAG ou un processus automatisé doit exécuter la commande Airflow sync-perm pour appliquer les nouveaux paramètres de contrôle des accès.

Dans Airflow 2.1.0 et versions ultérieures, l'exécution de cette commande n'est plus car le programmeur applique des autorisations au niveau du DAG lorsqu'il analyse une DAG.

dag = DAG(
  access_control={
    'DagGroup': {'can_edit', 'can_read'},
  },
  ...
  )

Mapper les journaux d'audit dans l'interface utilisateur d'Airflow avec les utilisateurs

Dans l'interface utilisateur d'Airflow, les journaux d'audit sont mappés ID numériques des comptes utilisateur Google. Pour Par exemple, si un utilisateur met un DAG en pause, une entrée est ajoutée aux journaux.

Vous pouvez afficher les journaux d'audit sur la page Parcourir > Journaux d'audit dans l'interface utilisateur d'Airflow.

**Figure 1.** Une entrée sur la page "Journaux d'audit" dans Airflow 2

Une entrée type indique un identifiant numérique dans le champ Owner (Propriétaire) : accounts.google.com:NUMERIC_ID Vous pouvez mapper des ID numériques avec les adresses e-mail des utilisateurs sur le Page Sécurité > Répertorier les utilisateurs Cette page est disponible pour utilisateurs disposant du rôle Admin.

Notez que la relation entre Identités Google (adresses e-mail) et comptes utilisateur (ID utilisateur) n'est pas fixe.