Cloud Composer 1 befindet sich im Modus nach der Wartung. Google veröffentlicht keine weiteren Updates für Cloud Composer 1, einschließlich neuer Versionen von Airflow, Fehlerkorrekturen und Sicherheitsupdates. Wir empfehlen die Migration zu Cloud Composer 2.

Diese Seite wurde von der Cloud Translation API übersetzt.

Mit Mitarbeiteridentitätsföderation auf Umgebungen zugreifen

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Auf dieser Seite wird beschrieben, wie Sie den Nutzerzugriff auf Ihre Cloud Composer-Umgebung mit Mitarbeiteridentitätsföderation.

Mitarbeiteridentitätsföderation in Cloud Composer

Mit der Workforce Identity-Föderation können Sie einen externen Identitätsanbieter (IdP) verwenden, um eine Gruppe von Nutzern, z. B. Mitarbeiter, Partner und Auftragnehmer, mithilfe von IAM zu authentifizieren und zu autorisieren, damit die Nutzer auf Google Cloud-Dienste zugreifen können. Weitere Informationen zu Mitarbeitern Identitätsföderation, siehe Mitarbeiteridentitätsföderation

Wenn die Mitarbeiteridentitätsföderation in Ihrem Projekt konfiguriert ist, können Sie auf Ihre Umgebung:

Cloud Composer-Seite in der Google Cloud Console
Airflow-UI
Google Cloud CLI, einschließlich Ausführen von Airflow-Befehlszeilenbefehlen
Cloud Composer API
Airflow REST API

Hinweise

Alle neuen Cloud Composer-Umgebungen, die ab Version erstellt wurden 2.1.11 und Airflow-Version 2.4.3-Unterstützung Mitarbeiteridentitätsföderation. Sie müssen Ihre Umgebung nicht speziell konfigurieren, um die Mitarbeiteridentitätsföderation zu unterstützen.

Wichtig: Die Unterstützung der Mitarbeiteridentitätsföderation in Cloud Composer ermöglicht externen Identitäten nicht automatisch einen neuen Zugriffspfad auf Ihre Umgebung. Solange Sie den Zugriff nicht über einen externen Identitätsanbieter konfigurieren und externen Identitäten keine Zugriffsberechtigungen gewähren, können sie nicht auf Ihre Umgebung zugreifen.
Vor Version erstellte Umgebungen 2.1.11 und Airflow-Version 2.4.3 und auf höhere Versionen aktualisiert unterstützen die Mitarbeiteridentitätsföderation nicht. Sie können Prüfen Sie, ob Ihre Umgebung die Mitarbeiteridentitätsföderation unterstützt.
Für den Bucket der Umgebung gelten die Cloud Storage-Einschränkungen für die Mitarbeiteridentitätsföderation. Insbesondere müssen Sie den einheitlichen Zugriff auf Bucket-Ebene aktivieren. auf den Bucket der Umgebung, damit externe Identitäten ihre DAGs und in diesen Bucket verschieben.
Von Airflow gesendete E-Mails enthalten nur die URL der Airflow-Benutzeroberfläche für Google-Konten. Weil Externe Identitäten können nur über die Airflow-UI auf die Airflow-UI zugreifen URL für externe Identitäten, der Link muss angepasst (geändert in die URL) für externe Identitäten).

Zugriff auf Ihre Umgebung mit Mitarbeiteridentitätsföderation einrichten

In diesem Abschnitt wird beschrieben, wie Sie den Zugriff externer Identitäten auf Ihre Cloud Composer-Umgebung konfigurieren.

Identitätsanbieter konfigurieren

Konfigurieren Sie die Workforce Identity-Föderation für Ihren Identitätsanbieter. Folgen Sie dazu der Anleitung unter Workforce Identity-Föderation konfigurieren.

Externen Identitäten IAM-Rollen zuweisen

Weisen Sie in Identity and Access Management Gruppen externer Identitäten, damit sie auf Ihre Umgebung zugreifen und mit ihr interagieren können:

Eine Liste der für Cloud Composer spezifischen Rollen finden Sie unter Nutzern Rollen zuweisen Beispiel: Der Parameter Umgebungsnutzer und Betrachter von Storage-Objekten Rolle (composer.environmentAndStorageObjectViewer) ermöglicht einem Nutzer Folgendes: Umgebungen ansehen, auf die Airflow-UI zugreifen, DAGs ansehen und auslösen von DAG-UI aufrufen und Objekte in Umgebungs-Buckets ansehen
Eine Anleitung zum Zuweisen dieser Rollen zu externen Nutzern finden Sie unter Hauptkonten IAM-Rollen zuweisen
Informationen zum Darstellen externer Identitäten in IAM-Richtlinien finden Sie unter Workforce-Pool-Nutzer in IAM-Richtlinien darstellen.

Prüfen, ob neue Nutzer in der Airflow-UI-Zugriffssteuerung die richtigen Airflow-Rollen erhalten

Cloud Composer verarbeitet Airflow-Nutzer für externe Identitäten in Dies funktioniert genauso wie bei Nutzern von Google-Konten. Anstelle einer E-Mail-Adresse wird eine Haupt-ID verwendet. Wenn eine externe Identität zum ersten Mal auf die Airflow-UI zugreift, wird ein Airflow-Nutzer wird automatisch für den rollenbasierten Airflow-Zugriff registriert das System mit der Standardrolle steuern.

Prüfen Sie, ob neue Nutzer die richtigen Airflow-Rollen in der Zugriffssteuerung der Airflow-Benutzeroberfläche erhalten. Es stehen zwei Optionen zur Verfügung:

Externen Identitäten die Standardrolle zuweisen, nachdem sie zum ersten Mal auf die Airflow-Benutzeroberfläche zugegriffen haben Bei Bedarf können Airflow-Administratoren diese Rolle einem anderen zuzuweisen.
Externe Identitäten mit einem Satz vorregistrieren der erforderlichen Rollen, indem Airflow-Nutzerdatensätze mit dem Nutzernamen und email-Feldern, die auf ihre Hauptkontokennungen festgelegt sind. Auf diese Weise Identitäten erhalten die von Ihnen zugewiesene Rolle, nicht die Standardrolle.

Wichtig: Die Airflow-UI-Zugriffssteuerung unterstützt nur die Kennungsformat für einzelne Identitäten. Gruppen und Identitäten mit einem bestimmten Attribut werden nicht unterstützt.

Prüfen, ob eine Umgebung die Mitarbeiteridentitätsföderation unterstützt

Führen Sie den folgenden Befehl aus, um zu prüfen, ob Ihre Umgebung die Mitarbeiteridentitätsföderation unterstützt: folgenden Google Cloud CLI-Befehl. Wenn die Ausgabe einen URI enthält, die Mitarbeiteridentitätsföderation unterstützt.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Ersetzen Sie:

ENVIRONMENT_NAME durch den Namen der Umgebung.
LOCATION durch die Region, in der sich die Umgebung befindet.

Beispiel:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

In der Google Cloud Console auf die Seite „Cloud Composer“ zugreifen

Google Cloud-Konsole für Mitarbeiteridentitätsföderation Zugriff auf die Seite „Cloud Composer“.

Über die Seite Composer in der Google Cloud-Mitarbeiteridentitätsföderation können Sie auf die UI zugreifen, um Umgebungen zu verwalten, Cloud Composer-Logs, Monitoring und DAG-UI

Alle Links zur Airflow-Benutzeroberfläche in der föderierten Konsole verweisen auf den Zugriffspunkt der Airflow-Benutzeroberfläche für externe Identitäten.

Bei Umgebungen mit Versionen vor 2.1.11 und/oder Airflow-Versionen vor 2.4.3 sind die Links zur Airflow-Benutzeroberfläche möglicherweise als „Nicht verfügbar“ gekennzeichnet. Das bedeutet, dass in dieser Umgebung keine Nutzer der Mitarbeiteridentitätsföderation in der Airflow-Benutzeroberfläche unterstützt werden. Auf die Airflow-Benutzeroberfläche für diese Umgebung kann nur mit Google-Konten zugegriffen werden.

Auf Airflow-UI zugreifen

Cloud Composer-Umgebungen haben zwei URLs für die Airflow-Benutzeroberfläche: eine für Google-Konten und eine für externe Identitäten. Externe Identitäten muss über die URL für externe Identitäten auf die Airflow-UI zugreifen.

Die URL für externe Identitäten lautet https://<UNIQUE_ID>.composer.byoid.googleusercontent.com
Die URL für Google-Konten lautet https://<UNIQUE_ID>.composer.googleusercontent.com.

Hinweis: Dienstkonten (anhand von IDs mit der Endung .iam.gserviceaccount.com erkennbar) gelten als Google-Konten. .composer.googleusercontent.com verwenden Adresse, wenn Sie mit Airflow über ein Google-Dienstkonto arbeiten möchten. Weitere Informationen finden Sie unter Über ein Dienstkonto auf die Airflow API zugreifen.

Nur Nutzer, die mit externen Identitäten authentifiziert sind, können auf die URL zugreifen für externe Identitäten. Wenn ein Nutzer die URL für externe Identitäten aufruft, ohne angemeldet zu sein, wird er zuerst zum Authentifizierungsportal weitergeleitet, wo er den Namen seines Workforce Identity-Poolanbieters angibt. Anschließend wird er zu seinem Identitätsanbieter weitergeleitet, um sich anzumelden, und schließlich zur Airflow-Benutzeroberfläche der Umgebung.

In der Google Cloud Console auf die DAG-UI zugreifen

Die DAG-Benutzeroberfläche ist für Nutzer mit externen Identitäten als Teil der föderierten Console verfügbar. Sie können können Sie den Zugriff mit IAM-Richtlinien steuern.

Der rollenbasierte Zugriff von Airflow in Umgebungen mit vollständiger Unterstützung der Mitarbeiteridentitätsföderation wird ebenfalls berücksichtigt. Mithilfe von Rollen können Sie festlegen, welche DAGs für einzelne Nutzer sichtbar sind, wie im Abschnitt Zugriffssteuerung in der Airflow-Benutzeroberfläche verwenden beschrieben.

Auf die Google Cloud CLI zugreifen

Für den Zugriff auf Ihre Umgebung über die Google Cloud CLI müssen externe Identitäten Gehen Sie so vor:

Melden Sie sich mit der Google Cloud CLI mit einer externen Identität an.
gcloud composer environments-Befehle ausführen

Auf die Cloud Composer API zugreifen

Die Cloud Composer API kann mit externen Identitäten verwendet werden, um alle Composer-Umgebungen mit den unterstützten Authentifizierungsmethoden wie OAuth-Tokens zu verwalten.

Airflow REST API

Die Airflow REST API ist verfügbar unter Endpunkt für externe Identitäten mit dem unterstützten Authentifizierungsmethoden wie OAuth-Tokens.

So rufen Sie die URL des Endpunkts für externe Identitäten für Ihre Umgebung ab: verwenden Sie den Befehl gcloud composer environments describe, wie in der Prüfen, ob eine Umgebung die Mitarbeiteridentitätsföderation unterstützt .