Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1
Cette page explique comment configurer l'accès des utilisateurs à votre environnement Cloud Composer avec la fédération des identités des employés.
À propos de la fédération d'identité de personnel dans Cloud Composer
La fédération des identités des employés vous permet d'utiliser un fournisseur d'identité (IdP) externe pour authentifier et autoriser du personnel (un groupe d'utilisateurs tels que des employés, des partenaires et des sous-traitants) à accéder aux services Google Cloud à l'aide d'IAM. Pour en savoir plus sur la fédération des identités des employés, consultez la page Fédération des identités des employés.
Si la fédération d'identité du personnel est configurée dans votre projet, vous pouvez accéder à votre environnement de différentes manières:
- Page Cloud Composer dans la console Google Cloud
- Interface utilisateur d'Airflow
- Google Cloud CLI, y compris l'exécution de commandes de CLI Airflow
- API Cloud Composer
- API REST Airflow
Avant de commencer
Vous n'avez pas besoin de configurer votre environnement de manière spécifique pour prendre en charge la fédération des identités des employés. Toutes les versions d'Airflow dans Cloud Composer 3 sont compatibles avec la fédération des identités des employés.
Les limites de Cloud Storage pour la fédération des identités des employés s'appliquent au bucket de l'environnement. En particulier, vous devez activer l'accès uniforme au niveau du bucket sur le bucket de l'environnement pour permettre aux identités externes d'importer leurs DAG et fichiers dans ce bucket.
Les e-mails envoyés depuis Airflow n'incluent que l'URL de l'interface utilisateur Airflow pour les comptes Google. Étant donné que les identités externes ne peuvent accéder à l'UI Airflow que via l'URL de l'UI Airflow pour les identités externes, le lien doit être ajusté (remplacé par l'URL pour les identités externes).
Configurer l'accès à votre environnement avec la fédération d'identité des employés
Cette section décrit la procédure à suivre pour configurer l'accès des identités externes à votre environnement Cloud Composer.
Configurer votre fournisseur d'identité
Configurez la fédération d'identité de personnel pour votre fournisseur d'identité en suivant le guide Configurer la fédération d'identité de personnel.
Attribuer des rôles IAM à des identités externes
Dans Identity and Access Management, attribuez des rôles IAM à des ensembles d'identités externes afin qu'ils puissent accéder à votre environnement et interagir avec celui-ci:
Pour obtenir la liste des rôles spécifiques à Cloud Composer, consultez la section Attribuer des rôles aux utilisateurs. Par exemple, le rôle Utilisateur de l'environnement et lecteur des objets de l'espace de stockage (
composer.environmentAndStorageObjectViewer) permet à un utilisateur d'afficher des environnements, d'accéder à l'interface utilisateur Airflow, d'afficher et de déclencher des DAG à partir de l'interface utilisateur DAG, et d'afficher des objets dans des buckets d'environnement.Pour savoir comment attribuer ces rôles à des utilisateurs externes, consultez la section Attribuer des rôles IAM aux principaux.
Pour connaître un format permettant de représenter des identités externes dans les stratégies IAM, consultez la page Représenter les utilisateurs de pools de personnel dans les stratégies IAM.
Vérifier que les nouveaux utilisateurs reçoivent les rôles Airflow appropriés dans le contrôle des accès de l'interface utilisateur d'Airflow
Cloud Composer gère les utilisateurs Airflow pour les identités externes de la même manière que pour les utilisateurs de comptes Google. Au lieu d'une adresse e-mail, un identifiant principal est utilisé. Lorsqu'une identité externe accède à l'interface utilisateur d'Airflow pour la première fois, un utilisateur Airflow est automatiquement enregistré dans le système de contrôle des accès basé sur les rôles d'Airflow avec le rôle par défaut.
Vérifiez que les nouveaux utilisateurs reçoivent les rôles Airflow appropriés dans le Contrôle des accès de l'interface utilisateur Airflow. Deux possibilités s'offrent à vous :
- Autorisez les identités externes à recevoir le rôle par défaut après avoir accédé à l'UI Airflow pour la première fois. Si nécessaire, les utilisateurs administrateurs Airflow peuvent remplacer ce rôle par un autre.
Préenregistrez des identités externes avec un ensemble de rôles requis en ajoutant des enregistrements utilisateur Airflow avec le nom d'utilisateur et les champs d'adresse e-mail définis sur leurs identifiants principaux. De cette manière, les identités externes obtiennent le rôle que vous leur avez attribué, et non le rôle par défaut.
Accéder à la page Cloud Composer dans la console Google Cloud
La console de fédération des identités des employésGoogle Cloud permet d'accéder à la page Cloud Composer.
Sur la page Composer de la console Google Cloud Workforce Identity Federation, vous pouvez accéder à l'UI pour gérer les environnements, les journaux Cloud Composer, la surveillance et l'UI DAG.
Tous les liens vers l'UI Airflow dans la console fédérée pointent vers le point d'accès de l'UI Airflow pour les identités externes.
Accéder à l'interface utilisateur d'Airflow
Les environnements Cloud Composer disposent de deux URL pour l'interface utilisateur d'Airflow: une pour les comptes Google et une autre pour les identités externes. Les identités externes doivent accéder à l'interface utilisateur d'Airflow via l'URL des identités externes.
L'URL des identités externes est
https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.L'URL des comptes Google est
https://<UNIQUE_ID>.composer.googleusercontent.com.
Seuls les utilisateurs authentifiés avec des identités externes peuvent accéder à l'URL pour les identités externes. Si un utilisateur accède à l'URL des identités externes sans être connecté, il est d'abord redirigé vers le portail d'authentification où il spécifie le nom de son fournisseur de pools de personnel, puis vers son fournisseur d'identité pour se connecter, puis vers l'interface utilisateur d'Airflow de l'environnement.
Accéder à l'interface utilisateur du DAG dans la console Google Cloud
L'UI DAG est disponible pour les utilisateurs d'identités externes dans la console fédérée. Vous pouvez contrôler l'accès à l'aide de stratégies IAM.
L'accès basé sur les rôles Airflow dans les environnements avec prise en charge complète de la fédération d'identité du personnel est également pris en compte et peut être utilisé pour limiter les DAG visibles pour des utilisateurs individuels en configurant des rôles, comme décrit dans la section Utiliser le contrôle des accès de l'interface utilisateur Airflow.
Accéder à Google Cloud CLI
Pour accéder à votre environnement via Google Cloud CLI, les identités externes doivent effectuer les opérations suivantes:
- Se connecter à l'aide de la Google Cloud CLI avec une identité externe
- Exécuter des commandes
gcloud composer environments
Accéder à l'API Cloud Composer
L'API Cloud Composer peut être utilisée avec des identités externes pour gérer tous les environnements Cloud Composer avec les méthodes d'authentification compatibles, telles que les jetons OAuth.
Accéder à l'API REST Airflow
L'API REST Airflow est disponible au point de terminaison pour les identités externes avec les méthodes d'authentification compatibles, telles que les jetons OAuth.
Pour obtenir l'URL du point de terminaison pour les identités externes de votre environnement, exécutez la commande Google Cloud CLI suivante:
gcloud composer environments describe ENVIRONMENT_NAME \
--location LOCATION \
--format="value(config.airflowByoidUri)"
Remplacez :
ENVIRONMENT_NAMEpar le nom de l'environnement.LOCATIONpar la région où se trouve l'environnement.
Exemple :
gcloud composer environments describe example-environment \
--location us-central1 \
--format="value(config.airflowByoidUri)"
Étape suivante
- Contrôle des accès avec IAM
- Utiliser le contrôle des accès à l'interface utilisateur d'Airflow
- Accéder à la CLI Airflow
- Accéder à l'API REST Airflow