Cloud Composer 1 está en el modo posterior al mantenimiento. Google no lanzará más actualizaciones de Cloud Composer 1, incluidas nuevas versiones de Airflow, correcciones de errores y actualizaciones de seguridad. Te recomendamos planificar la migración a Cloud Composer 2.

Se usó la API de Cloud Translation para traducir esta página.

Accede a entornos con la federación de identidades de personal

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

En esta página, se describe cómo configurar el acceso de los usuarios a tu entorno de Cloud Composer con la federación de identidades de personal.

Acerca de la federación de identidades de personal en Cloud Composer

La federación de identidades de personal te permite usar un proveedor de identidad externo (IdP) para autenticar y autorizar a un personal (un grupo de usuarios, como empleados, socios y contratistas) que usa IAM, de modo que los usuarios puedan acceder a los servicios de Google Cloud . Para obtener más información sobre la federación de identidades de personal, consulta Federación de identidades de personal.

Si la federación de Workforce Identity está configurada en tu proyecto, puedes acceder a tu entorno de las siguientes maneras:

Página de Cloud Composer en la consola de Google Cloud
IU de Airflow
Google Cloud CLI, incluidos los comandos de la CLI de Airflow
API de Cloud Composer
API de REST de Airflow

Antes de comenzar

No es necesario que configures tu entorno de ninguna manera específica para admitir la federación de identidades de personal. Todas las compilaciones de Airflow en Cloud Composer 3 admiten la federación de Workforce Identity.

Importante: La compatibilidad con la federación de identidades de personal en Cloud Composer no proporciona automáticamente una nueva ruta de acceso para identidades externas a tu entorno. Siempre que no configures el acceso a través de un proveedor de identidad externo ni otorgues permisos de acceso a identidades externas, estas no podrán acceder a tu entorno.
Las limitaciones de Cloud Storage para la federación de identidades de personal se aplican al bucket del entorno. En particular, debes habilitar el acceso uniforme a nivel del bucket en el bucket del entorno para permitir que las identidades externas suban sus DAG y archivos a este bucket.
Los correos electrónicos que se envían desde Airflow solo incluyen la URL de la IU de Airflow para las Cuentas de Google. Debido a que las identidades externas solo pueden acceder a la IU de Airflow a través de la URL de la IU de Airflow para identidades externas, se debe ajustar el vínculo (cambiar a la URL para identidades externas).

Configura el acceso a tu entorno con la federación de identidades de personal

En esta sección, se describen los pasos para configurar el acceso de identidades externas a tu entorno de Cloud Composer.

Configura tu proveedor de identidad

Para configurar la federación de Workforce Identity para tu proveedor de identidad, sigue la guía Configura la federación de Workforce Identity.

Otorga roles de IAM a identidades externas

En Identity and Access Management, otorga roles de IAM a conjuntos de identidades externas para que puedan acceder a tu entorno y, además, interactuar con él:

Para obtener una lista de los roles específicos de Cloud Composer, consulta Otorga roles a los usuarios. Por ejemplo, el rol de Visualizador de objetos de almacenamiento y de usuario de entorno (composer.environmentAndStorageObjectViewer) permite a un usuario ver entornos, acceder a la IU de Airflow, ver y activar DAG desde la IU de DAG, y ver objetos en depósitos de entorno.
Para obtener instrucciones sobre cómo asignar estos roles a usuarios externos, consulta Otorga roles de IAM a los principales.
Para obtener un formato de representación de identidades externas en las políticas de IAM, consulta Representa a los usuarios del grupo de personal en las políticas de IAM.

Verifica que los usuarios nuevos reciban los roles correctos de Airflow en el control de acceso de la IU de Airflow

Cloud Composer controla a los usuarios de Airflow para identidades externas de la misma manera que a los usuarios de cuentas de Google. En lugar de una dirección de correo electrónico, se usa un identificador principal. Cuando una identidad externa accede a la IU de Airflow por primera vez, un usuario de Airflow se registra automáticamente en el sistema de control de acceso basado en roles de Airflow con el rol predeterminado.

Verifica que los usuarios nuevos reciban los roles correctos de Airflow en el Control de acceso de la IU de Airflow. Tienes dos opciones:

Permite que las identidades externas reciban el rol predeterminado después de acceder a la IU de Airflow por primera vez. Si es necesario, los usuarios administradores de Airflow pueden cambiar este rol a uno diferente.
Registra previamente identidades externas con un conjunto de roles obligatorios. Para ello, agrega registros de usuarios de Airflow con los campos de nombre de usuario y correo electrónico configurados en sus identificadores principales. De esta manera, las identidades externas obtienen el rol que les asignaste, no el predeterminado.

Importante: El control de acceso de la IU de Airflow solo admite el formato de identificador para identidades únicas. No se admiten grupos ni identidades con un atributo específico.

Accede a la página de Cloud Composer en la consola de Google Cloud

La Google Cloud consola de la federación de identidades de personal proporciona acceso a la página de Cloud Composer.

En la página Composer de la consola de la Google Cloud Federación de identidades del personal, puedes acceder a la IU para administrar entornos, registros de Cloud Composer, supervisión y la IU de DAG.

Todos los vínculos a la IU de Airflow en la consola federada dirigen al punto de acceso de la IU de Airflow para identidades externas.

Accede a la IU de Airflow

Los entornos de Cloud Composer tienen dos URLs para la IU de Airflow: una para las cuentas de Google y otra para las identidades externas. Las identidades externas deben acceder a la IU de Airflow a través de la URL de identidades externas.

La URL de las identidades externas es https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.
La URL de las Cuentas de Google es https://<UNIQUE_ID>.composer.googleusercontent.com.

Nota: Las cuentas de servicio (puedes reconocerlas por los identificadores que terminan en .iam.gserviceaccount.com) se consideran Cuentas de Google. Usa la dirección .composer.googleusercontent.com si deseas trabajar con Airflow con una cuenta de servicio de Google. Consulta Cómo acceder a la API de Airflow con una cuenta de servicio.

Solo los usuarios que se autentican con identidades externas pueden acceder a la URL de identidades externas. Si un usuario visita la URL de identidades externas sin haber accedido, primero se lo redirecciona al portal de autenticación, donde especifica el nombre de su proveedor de grupos de Workforce Identity, luego se lo redirecciona a su proveedor de identidad para acceder y, por último, se lo redirecciona a la IU de Airflow del entorno.

Accede a la IU de DAG en la consola de Google Cloud

La IU de DAG está disponible para los usuarios de identidades externas como parte de la consola federada. Puedes controlar el acceso con las políticas de IAM.

También se tiene en cuenta el acceso basado en roles de Airflow en los entornos con compatibilidad completa con la federación de identidades de personal y se puede usar para limitar qué DAG son visibles para usuarios individuales configurando roles, como se describe en Cómo usar el control de acceso de la IU de Airflow.

Accede a Google Cloud CLI

Para acceder a tu entorno a través de Google Cloud CLI, las identidades externas deben hacer lo siguiente:

Accede con Google Cloud CLI con una identidad externa.
Ejecuta comandos gcloud composer environments.

Accede a la API de Cloud Composer

La API de Cloud Composer se puede usar con identidades externas para administrar todos los entornos de Cloud Composer con los métodos de autenticación compatibles, como los tokens de OAuth.

Accede a la API de REST de Airflow

La API de REST de Airflow está disponible en el extremo para identidades externas con los métodos de autenticación compatibles, como los tokens de OAuth.

Para obtener la URL del extremo de las identidades externas de tu entorno, ejecuta el siguiente comando de Google Cloud CLI:

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Reemplaza lo siguiente:

ENVIRONMENT_NAME por el nombre del entorno.
LOCATION por la región en la que se encuentra el entorno.

Ejemplo:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"