Cloud Composer 1 befindet sich im Modus nach der Wartung. Google veröffentlicht keine weiteren Updates für Cloud Composer 1, einschließlich neuer Versionen von Airflow, Fehlerkorrekturen und Sicherheitsupdates. Wir empfehlen die Migration zu Cloud Composer 2.

Diese Seite wurde von der Cloud Translation API übersetzt.

Über die Workforce Identity-Föderation auf Umgebungen zugreifen

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

Auf dieser Seite wird beschrieben, wie Sie den Nutzerzugriff auf Ihre Cloud Composer-Umgebung mit Workforce Identity Federation konfigurieren.

Workforce Identity Federation in Cloud Composer

Mit der Workforce Identity-Föderation können Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden, um eine Gruppe von Nutzern, z. B. Mitarbeiter, Partner und Auftragnehmer, per IAM zu authentifizieren und zu autorisieren, damit die Nutzer auf Google Cloud -Dienste zugreifen können. Weitere Informationen zur Workforce Identity-Föderation finden Sie unter Workforce Identity-Föderation.

Wenn die Workforce Identity Federation in Ihrem Projekt konfiguriert ist, haben Sie folgende Möglichkeiten, auf Ihre Umgebung zuzugreifen:

Cloud Composer-Seite in der Google Cloud Console
Airflow-UI
Google Cloud CLI, einschließlich Ausführen von Airflow-Befehlszeilenbefehlen
Cloud Composer API
Airflow REST API

Hinweis

Sie müssen Ihre Umgebung nicht speziell konfigurieren, um die Mitarbeiteridentitätsföderation zu unterstützen. Alle Airflow-Builds in Cloud Composer 3 unterstützen die Workforce Identity-Föderation.

Wichtig: Die Unterstützung der Mitarbeiteridentitätsföderation in Cloud Composer ermöglicht externen Identitäten nicht automatisch einen neuen Zugriffspfad auf Ihre Umgebung. Solange Sie den Zugriff nicht über einen externen Identitätsanbieter konfigurieren und externen Identitäten keine Zugriffsberechtigungen gewähren, können sie nicht auf Ihre Umgebung zugreifen.
Für den Bucket der Umgebung gelten die Cloud Storage-Einschränkungen für die Mitarbeiteridentitätsföderation. Insbesondere müssen Sie den einheitlichen Zugriff auf Bucket-Ebene für den Bucket der Umgebung aktivieren, damit externe Identitäten ihre DAGs und Dateien in diesen Bucket hochladen können.
Von Airflow gesendete E-Mails enthalten nur die URL der Airflow-Benutzeroberfläche für Google-Konten. Da externe Identitäten nur über die URL der Airflow-Benutzeroberfläche für externe Identitäten auf die Airflow-Benutzeroberfläche zugreifen können, muss der Link angepasst werden (in die URL für externe Identitäten geändert werden).

Zugriff auf Ihre Umgebung mit der Workforce Identity-Föderation einrichten

In diesem Abschnitt wird beschrieben, wie Sie den Zugriff externer Identitäten auf Ihre Cloud Composer-Umgebung konfigurieren.

Identitätsanbieter konfigurieren

Konfigurieren Sie die Workforce Identity-Föderation für Ihren Identitätsanbieter. Folgen Sie dazu der Anleitung unter Workforce Identity-Föderation konfigurieren.

Externen Identitäten IAM-Rollen zuweisen

Weisen Sie in Identity and Access Management (IAM) externen Identitäten IAM-Rollen zu, damit sie auf Ihre Umgebung zugreifen und mit ihr interagieren können:

Eine Liste der Cloud Composer-spezifischen Rollen finden Sie unter Nutzern Rollen zuweisen. Mit der Rolle Umgebungsnutzer und Betrachter von Storage-Objekten (composer.environmentAndStorageObjectViewer) kann ein Nutzer beispielsweise Umgebungen aufrufen, auf die Airflow-Benutzeroberfläche zugreifen, DAGs über die DAG-Benutzeroberfläche aufrufen und auslösen sowie Objekte in Umgebungs-Buckets aufrufen.
Eine Anleitung zum Zuweisen dieser Rollen für externe Nutzer finden Sie unter Principals IAM-Rollen zuweisen.
Informationen zum Darstellen externer Identitäten in IAM-Richtlinien finden Sie unter Workforce-Pool-Nutzer in IAM-Richtlinien darstellen.

Prüfen, ob neue Nutzer in der Airflow-UI-Zugriffssteuerung die richtigen Airflow-Rollen erhalten

Cloud Composer behandelt Airflow-Nutzer für externe Identitäten genauso wie Google-Kontonutzer. Anstelle einer E-Mail-Adresse wird eine Haupt-ID verwendet. Wenn eine externe Identität zum ersten Mal auf die Airflow-Benutzeroberfläche zugreift, wird ein Airflow-Nutzer automatisch im Airflow-System zur rollenbasierten Zugriffssteuerung mit der Standardrolle registriert.

Prüfen Sie, ob neue Nutzer die richtigen Airflow-Rollen in der Zugriffssteuerung der Airflow-Benutzeroberfläche erhalten. Es stehen zwei Optionen zur Verfügung:

Externen Identitäten die Standardrolle zuweisen, nachdem sie zum ersten Mal auf die Airflow-Benutzeroberfläche zugegriffen haben Bei Bedarf können Airflow-Administratoren diese Rolle dann in eine andere ändern.
Externe Identitäten mit einer Reihe erforderlicher Rollen vorab registrieren, indem Sie Airflow-Nutzereinträge hinzufügen, bei denen die Felder für den Nutzernamen und die E-Mail-Adresse auf ihre Haupt-IDs festgelegt sind. So erhalten externe Identitäten die Rolle, die Sie ihnen zugewiesen haben, nicht die Standardrolle.

Wichtig: Die Zugriffssteuerung für die Airflow-Benutzeroberfläche unterstützt nur das ID-Format für einzelne Identitäten. Gruppen und Identitäten mit einem bestimmten Attribut werden nicht unterstützt.

Cloud Composer-Seite in der Google Cloud Console aufrufen

Über die Google Cloud Console für die Mitarbeiteridentitätsföderation können Sie auf die Cloud Composer-Seite zugreifen.

Auf der Seite Composer in der Google Cloud Console für die Workforce Identity-Föderation können Sie auf die Benutzeroberfläche zum Verwalten von Umgebungen, Cloud Composer-Protokollen, Monitoring und DAG-UI zugreifen.

Alle Links zur Airflow-Benutzeroberfläche in der föderierten Konsole verweisen auf den Zugriffspunkt der Airflow-Benutzeroberfläche für externe Identitäten.

Auf die Airflow-Benutzeroberfläche zugreifen

Cloud Composer-Umgebungen haben zwei URLs für die Airflow-Benutzeroberfläche: eine für Google-Konten und eine für externe Identitäten. Externe Identitäten müssen über die URL für externe Identitäten auf die Airflow-Benutzeroberfläche zugreifen.

Die URL für externe Identitäten lautet https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.
Die URL für Google-Konten lautet https://<UNIQUE_ID>.composer.googleusercontent.com.

Hinweis: Dienstkonten (anhand von IDs zu erkennen, die auf .iam.gserviceaccount.com enden) gelten als Google-Konten. Verwenden Sie die .composer.googleusercontent.com-Adresse, wenn Sie mit Airflow und einem Google-Dienstkonto arbeiten möchten. Weitere Informationen finden Sie unter Über ein Dienstkonto auf die Airflow API zugreifen.

Nur Nutzer, die mit externen Identitäten authentifiziert sind, können auf die URL für externe Identitäten zugreifen. Wenn ein Nutzer die URL für externe Identitäten aufruft, ohne angemeldet zu sein, wird er zuerst zum Authentifizierungsportal weitergeleitet, wo er den Namen seines Workforce Identity-Poolanbieters angibt. Anschließend wird er zu seinem Identitätsanbieter weitergeleitet, um sich anzumelden, und schließlich zur Airflow-Benutzeroberfläche der Umgebung.

Auf die DAG-Benutzeroberfläche in der Google Cloud Console zugreifen

Die DAG-Benutzeroberfläche ist für Nutzer mit externen Identitäten als Teil der föderierten Console verfügbar. Sie können den Zugriff mit IAM-Richtlinien steuern.

Der rollenbasierte Zugriff von Airflow in Umgebungen mit vollständiger Unterstützung der Workforce Identity Federation wird ebenfalls berücksichtigt. Mithilfe von Rollen können Sie festlegen, welche DAGs für einzelne Nutzer sichtbar sind, wie unter Zugriffssteuerung über die Airflow-Benutzeroberfläche verwenden beschrieben.

Auf die Google Cloud CLI zugreifen

Damit externe Identitäten über die Google Cloud CLI auf Ihre Umgebung zugreifen können, müssen sie Folgendes tun:

Melden Sie sich mit der Google Cloud CLI mit einer externen Identität an.
gcloud composer environments-Befehle ausführen

Auf die Cloud Composer API zugreifen

Die Cloud Composer API kann mit externen Identitäten verwendet werden, um alle Cloud Composer-Umgebungen mit den unterstützten Authentifizierungsmethoden wie OAuth-Tokens zu verwalten.

Auf die Airflow REST API zugreifen

Die Airflow REST API ist über den Endpunkt für externe Identitäten mit den unterstützten Authentifizierungsmethoden wie OAuth-Tokens verfügbar.

Führen Sie den folgenden Google Cloud CLI-Befehl aus, um die URL des Endpunkts für externe Identitäten für Ihre Umgebung abzurufen:

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Ersetzen Sie:

ENVIRONMENT_NAME durch den Namen der Umgebung.
LOCATION durch die Region, in der sich die Umgebung befindet.

Beispiel:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"