Acessar ambientes com a federação de identidade da força de trabalho

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Esta página descreve como configurar o acesso do usuário ao seu ambiente do Cloud Composer com a federação de identidade de colaboradores.

Sobre a federação de identidade da força de trabalho no Cloud Composer

Com a federação de identidade de colaboradores, você pode usar um provedor de identidade (IdP) externo para autenticar e autorizar uma força de trabalho, um grupo de usuários, como funcionários, parceiros e contratados, usando o IAM, para que os os usuários podem acessar os serviços do Google Cloud. Para mais informações sobre força de trabalho federação de identidade, consulte Federação de identidade da força de trabalho.

Se a federação de identidade da força de trabalho estiver configurada no seu projeto, você poderá acessar seu ambiente das seguintes maneiras:

  • Página do Cloud Composer no console do Google Cloud
  • IU do Airflow
  • Google Cloud CLI, incluindo a execução de comandos da CLI do Airflow
  • API Cloud Composer
  • API REST do Airflow

Antes de começar

  • Todos os novos ambientes do Cloud Composer criados a partir da versão 2.1.11 e do Airflow versão 2.4.3 são compatíveis com a federação de identidade da força de trabalho. Você não precisa configurar seu de maneira específica para ajudar a federação de identidade de colaboradores.

  • Ambientes criados antes da versão 2.1.11 e a versão do Airflow 2.4.3 e atualizadas para versões posteriores não oferecem suporte à federação de identidade de colaboradores. É possível verificar se o ambiente é compatível com a federação de identidade da força de trabalho.

  • Limitações do Cloud Storage para a federação de identidade de colaboradores aplicar no bucket do ambiente. Mais especificamente, é necessário ativar o acesso uniforme no nível do bucket. no bucket do ambiente para permitir que identidades externas façam upload dos DAGs e para este bucket.

  • Os e-mails enviados pelo Airflow incluem apenas o URL da interface do Airflow para Contas do Google. Devido ao identidades externas só podem acessar a interface do Airflow pela interface URL para identidades externas, o link deve ser ajustado (alterado para o URL para identidades externas).

Configurar o acesso ao seu ambiente com a federação de identidade da força de trabalho

Nesta seção, descrevemos as etapas para configurar o acesso de identidades externas ao ambiente do Cloud Composer.

Configurar seu provedor de identidade

Configure a federação de identidade de colaboradores para seu provedor de identidade ao seguindo o guia Configurar a federação de identidade de colaboradores.

Conceder papéis do IAM a identidades externas

No Identity and Access Management, conceda papéis do IAM a conjuntos de identidades externas para que elas possam acessar e interagir com seu ambiente:

Verificar se os novos usuários recebem os papéis corretos do Airflow no controle de acesso da interface do Airflow

O Cloud Composer processa os usuários do Airflow para identidades externas da mesma forma que os usuários de contas do Google. Em vez de um endereço de e-mail, uma identificador principal é usado. Quando uma identidade externa acessa a interface do Airflow pela primeira vez, uma O usuário do Airflow é registrado automaticamente no acesso baseado em papéis do Airflow com o papel padrão.

Verifique se os novos usuários recebem os papéis corretos do Airflow no Controle de acesso à IU do Airflow. Você tem duas opções:

  • Permitir que identidades externas recebam o papel padrão depois de acessar o Airflow pela primeira vez. Se necessário, os usuários administradores do Airflow podem mudar essa função para outra.
  • Pré-registre identidades externas com um conjunto de papéis obrigatórios adicionando registros de usuários do Airflow com o nome de usuário e os campos de e-mail definidos como identificadores principais. Dessa forma, as identidades externas recebem o papel que você atribuiu a elas, não o papel padrão.

Verificar se um ambiente oferece suporte à federação de identidade da força de trabalho

Para verificar se seu ambiente é compatível com a federação de identidade de colaboradores, execute o comando comando da Google Cloud CLI. Se a saída mostrar um URI, seu ambiente é compatível com a federação de identidade de colaboradores.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Substitua:

  • ENVIRONMENT_NAME pelo nome do ambiente
  • LOCATION pela região em que o ambiente está localizado;

Exemplo:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Acessar a página do Cloud Composer no console do Google Cloud

Console de federação de identidade de colaboradores do Google Cloud Concede acesso à página do Cloud Composer.

Na página do Composer na federação de identidade de colaboradores do Google Cloud é possível acessar a UI para gerenciar ambientes, Registros do Cloud Composer, monitoramento e interface do DAG.

Todos os links para a interface do Airflow no console federado apontam para a interface do Airflow um ponto de acesso para identidades externas.

Ambientes em versões anteriores 2.1.11 e/ou versões anteriores do Airflow a versão 2.4.3 pode ter a interface do Airflow links marcados como "Não disponível". Isso indica que esse ambiente não oferece suporte a usuários da federação de identidade de colaboradores na interface do Airflow. interface do Airflow para isso só pode ser acessado com Contas do Google.

Acessar a interface do Airflow

Os ambientes do Cloud Composer têm dois URLs para a interface do Airflow: um para contas do Google e outro para identidades externas. Identidades externas precisam acessar a interface do Airflow pelo URL de identidades externas.

  • O URL de identidades externas é https://<UNIQUE_ID>.composer.byoid.googleusercontent.com:

  • O URL das Contas do Google é https://<UNIQUE_ID>.composer.googleusercontent.com.

Somente usuários autenticados com identidades externas podem acessar o URL para identidades externas. Se um usuário acessar o URL de identidades externas sem fazer login, ele será redirecionado primeiro para o portal de autenticação, onde especifica o nome do provedor do pool de força de trabalho, depois para o provedor de identidade para fazer login e, por fim, para a interface do Airflow do ambiente.

Acessar a interface do DAG no console do Google Cloud

A interface da DAG está disponível para usuários de identidade externa como parte do console federado. Você pode controlar o acesso com políticas do IAM.

Acesso baseado em papéis do Airflow nos ambientes com identidade de força de trabalho completa o suporte a federação também é considerado e pode ser utilizado para limitar quais Os DAGs ficam visíveis para usuários individuais configurando papéis, conforme descrito em Como usar o controle de acesso da interface do Airflow.

Acessar a CLI do Google Cloud

Para acessar o ambiente pela CLI do Google Cloud, as identidades externas precisam fazer o seguinte:

  1. Faça login na CLI do Google Cloud usando uma identidade externa.
  2. Execute os comandos gcloud composer environments.

Acessar a API Cloud Composer

A API Cloud Composer pode ser usada com identidades externas para gerenciar todos os ambientes do Composer com os métodos de autenticação aceitos, como tokens OAuth.

API REST do Airflow

A API REST do Airflow está disponível no endpoint para identidades externas com os métodos de autenticação compatíveis, como tokens OAuth.

Para conseguir o URL do endpoint para identidades externas do seu ambiente, use o comando gcloud composer environments describe, conforme mostrado Verificar se um ambiente é compatível com a federação de identidade de colaboradores nesta seção.

A seguir