Cloud Composer 1 está en el modo posterior al mantenimiento. Google no lanzará más actualizaciones de Cloud Composer 1, incluidas nuevas versiones de Airflow, correcciones de errores y actualizaciones de seguridad. Recomendamos planificar la migración a Cloud Composer 2.

Se usó la API de Cloud Translation para traducir esta página.

Accede a entornos con la federación de identidades de personal

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

En esta página, se describe cómo configurar el acceso de los usuarios a tu entorno de Cloud Composer con la federación de identidades de la fuerza laboral.

Acerca de la federación de identidades de personal en Cloud Composer

La federación de identidades de personal te permite usar un proveedor de identidad (IdP) externo autenticar y autorizar a un personal, es decir, un grupo de usuarios, como empleados, socios y contratistas, usando IAM para que usuarios pueden acceder a los servicios de Google Cloud. Para obtener más información sobre la federación de identidades de personal, consulta Federación de identidades de personal.

Si la federación de identidades de personal está configurada en tu proyecto, puedes acceder tu entorno de las siguientes maneras:

Página de Cloud Composer en la consola de Google Cloud
IU de Airflow
Google Cloud CLI, incluidos los comandos de la CLI de Airflow
API de Cloud Composer
API de REST de Airflow

Antes de comenzar

Todos los entornos nuevos de Cloud Composer creados a partir de la versión 2.1.11 y la versión 2.4.3 de Airflow admiten la federación de identidades de personal. No es necesario que configures tu ambiente de ninguna manera específica para admitir la federación de identidades de personal.

Importante: Compatibilidad con la federación de identidades de personal en Cloud Composer no proporciona automáticamente un nuevo acceso para identidades externas a tu entorno. Siempre que no configures el acceso a través de un proveedor de identidad externo ni otorgues permisos de acceso a identidades externas, estas no podrán acceder a tu entorno.
Entornos creados antes de la versión 2.1.11 y versión de Airflow 2.4.3 y se actualizaron a versiones posteriores no admiten la federación de identidades de personal. Puedes comprobar si tu entorno admite la federación de identidades de personal.
Limitaciones de Cloud Storage para la federación de identidades de personal aplicar al bucket del entorno. En particular, debes habilitar el acceso uniforme a nivel del bucket en el bucket del entorno para permitir que las identidades externas suban sus DAG y archivos a este bucket.
Los correos electrónicos enviados desde Airflow solo incluyen el URL de la IU de Airflow para Cuentas de Google. Debido a que las identidades externas solo pueden acceder a la IU de Airflow a través de la URL de la IU de Airflow para identidades externas, se debe ajustar el vínculo (cambiar a la URL para identidades externas).

Configura el acceso a tu entorno con la federación de identidades de personal

En esta sección, se describen los pasos para configurar el acceso de identidades externas a tu entorno de Cloud Composer.

Configura tu proveedor de identidad

Configura la federación de identidades de personal para tu proveedor de identidad de la siguiente manera: con la guía Configura la federación de identidades de personal.

Otorga roles de IAM a identidades externas

En Identity and Access Management, otorga roles de IAM a conjuntos de identidades externas para que puedan acceder a tu entorno y, además, interactuar con él:

Para obtener una lista de los roles específicos de Cloud Composer, consulta Otorga funciones a los usuarios. Por ejemplo, el rol de Usuario de entorno y Visualizador de objetos de almacenamiento (composer.environmentAndStorageObjectViewer) permite a un usuario ver entornos, acceder a la IU de Airflow, ver y activar DAG desde la IU de DAG, y ver objetos en depósitos de entorno.
Para obtener instrucciones sobre cómo asignar estos roles a usuarios externos, consulta Otorga roles de IAM a los principales.
Para obtener un formato de representación de identidades externas en las políticas de IAM, consulta Representa a los usuarios del grupo de personal en las políticas de IAM.

Verifica que los usuarios nuevos reciban los roles de Airflow correctos en el control de acceso de la IU de Airflow

Cloud Composer controla a los usuarios de Airflow para identidades externas de la misma manera que a los usuarios de cuentas de Google. En lugar de una dirección de correo electrónico, un identificador principal y control sobre el uso de sus datos. Cuando una identidad externa accede a la IU de Airflow por primera vez, un usuario de Airflow se registra automáticamente en el sistema de control de acceso basado en roles de Airflow con el rol predeterminado.

Verifica que los usuarios nuevos reciban los roles correctos de Airflow en el Control de acceso de la IU de Airflow. Tienes dos opciones:

Permite que las identidades externas reciban el rol predeterminado después de acceder a Airflow IU por primera vez. Si es necesario, los usuarios administradores de Airflow pueden cambiar este rol a uno diferente.
Registro previo de identidades externas con un conjunto de los roles requeridos agregando registros de usuario de Airflow con el nombre de usuario y de correo electrónico configurados en sus identificadores principales. De esta manera, las identidades externas obtienen el rol que les asignaste, no el predeterminado.

Importante: El control de acceso de la IU de Airflow solo admite el formato de identificador para identidades únicas. No se admiten los grupos ni las identidades con un atributo específico.

Cómo verificar si un entorno admite la federación de identidades de personal

Para verificar si tu entorno admite la federación de identidades del personal, ejecuta el siguiente comando de Google Cloud CLI. Si el resultado muestra un URI, tu es compatible con la federación de identidades de personal.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Reemplaza lo siguiente:

ENVIRONMENT_NAME por el nombre del entorno.
LOCATION por la región en la que se encuentra el entorno.

Ejemplo:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Accede a la página de Cloud Composer en la consola de Google Cloud

Consola de la federación de identidades de personal de Google Cloud proporciona acceso a la página de Cloud Composer.

En la página Composer de la consola de la federación de identidades de personal de Google Cloud, puedes acceder a la IU para administrar entornos, registros de Cloud Composer, supervisión y la IU de DAG.

Todos los vínculos a la IU de Airflow en la consola federada apuntan a la IU de Airflow de acceso para identidades externas.

Es posible que los entornos con versiones anteriores a 2.1.11 o Airflow anteriores a 2.4.3 tengan sus vínculos de la IU de Airflow marcados como "No disponible". Esto indica que este entorno no es compatible con los usuarios de la federación de identidades de personal en la IU de Airflow. Solo se puede acceder a la IU de Airflow para este entorno con Cuentas de Google.

Accede a la IU de Airflow

Los entornos de Cloud Composer tienen dos URLs para la IU de Airflow: una para las cuentas de Google y otra para las identidades externas. Las identidades externas deben acceder a la IU de Airflow a través de la URL de identidades externas.

La URL para las identidades externas es https://<UNIQUE_ID>.composer.byoid.googleusercontent.com
La URL de las Cuentas de Google es https://<UNIQUE_ID>.composer.googleusercontent.com.

Nota: Las cuentas de servicio (puedes reconocerlas por los identificadores que terminan en .iam.gserviceaccount.com) se consideran Cuentas de Google. Usa la dirección .composer.googleusercontent.com si deseas trabajar con Airflow con una cuenta de servicio de Google. Consulta Cómo acceder a la API de Airflow con una cuenta de servicio.

Solo los usuarios autenticados con identidades externas pueden acceder a la URL. para las identidades externas. Si un usuario visita la URL de identidades externas sin haber accedido, primero se lo redirecciona al portal de autenticación, donde especifica el nombre de su proveedor de grupos de Workforce Identity, luego se lo redirecciona a su proveedor de identidad para acceder y, por último, se lo redirecciona a la IU de Airflow del entorno.

Accede a la IU del DAG en la consola de Google Cloud

La IU de DAG está disponible para los usuarios de identidad externos. como parte de la consola federada. Puedes controlar el acceso con políticas de IAM

También se tiene en cuenta el acceso basado en roles de Airflow en los entornos con compatibilidad completa con la federación de identidades de personal y se puede usar para limitar qué DAG son visibles para usuarios individuales configurando roles, como se describe en Cómo usar el control de acceso de la IU de Airflow.

Accede a Google Cloud CLI

Para acceder a tu entorno a través de Google Cloud CLI, las identidades externas deben haz lo siguiente:

Accede con Google Cloud CLI con una identidad externa.
Ejecuta comandos gcloud composer environments.

Accede a la API de Cloud Composer

La API de Cloud Composer se puede usar con identidades externas para administrar todos los entornos de Composer con los métodos de autenticación admitidos, como los tokens de OAuth.

API de REST de Airflow

La API de REST de Airflow está disponible en el extremo para identidades externas con los métodos de autenticación compatibles, como los tokens de OAuth.

Para obtener la URL del extremo de las identidades externas de tu entorno, haz lo siguiente: usa el comando gcloud composer environments describe, como se muestra en Verifica si un entorno admite la federación de identidades de personal sección.