Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1
Questa pagina descrive come configurare l'accesso utente al tuo ambiente Cloud Composer con la federazione delle identità della forza lavoro.
Informazioni sulla federazione delle identità per la forza lavoro in Cloud Composer
La federazione delle identità per la forza lavoro ti consente di utilizzare un provider di identità (IdP) esterno per autenticare e autorizzare una forza lavoro, ovvero un gruppo di utenti come dipendenti, partner e appaltatori, utilizzando IAM, in modo che gli utenti possano accedere ai servizi Google Cloud . Per ulteriori informazioni sulla federazione delle identità della forza lavoro, consulta la pagina Federazione delle identità della forza lavoro.
Se la federazione delle identità per la forza lavoro è configurata nel tuo progetto, puoi accedere al tuo ambiente nei seguenti modi:
- Pagina Cloud Composer nella console Google Cloud
- UI di Airflow
- Interfaccia a riga di comando Google Cloud, inclusa l'esecuzione di comandi Airflow CLI
- API Cloud Composer
- API REST Airflow
Prima di iniziare
Non è necessario configurare l'ambiente in modo specifico per supportare la federazione delle identità per la forza lavoro. Tutte le build di Airflow in Cloud Composer 3 supportano la federazione delle identità per la forza lavoro.
Le limitazioni di Cloud Storage per la federazione delle identità della forza lavoro si applicano al bucket dell'ambiente. In particolare, devi attivare l'accesso uniforme a livello di bucket nel bucket dell'ambiente per consentire alle identità esterne di caricare i propri DAG e file in questo bucket.
Le email inviate da Airflow includono solo l'URL dell'interfaccia utente di Airflow per gli account Google. Poiché le identità esterne possono accedere all'interfaccia utente di Airflow solo tramite l'URL dell'interfaccia utente di Airflow per le identità esterne, il link deve essere modificato (deve essere impostato sull'URL per le identità esterne).
Configurare l'accesso al tuo ambiente con la federazione delle identità della forza lavoro
Questa sezione descrive i passaggi per configurare l'accesso per le identità esterne al tuo ambiente Cloud Composer.
Configura il tuo provider di identità
Configura la federazione delle identità per la forza lavoro per il tuo provider di identità seguendo la guida Configurare la federazione delle identità per la forza lavoro.
Concedi ruoli IAM a identità esterne
In Identity and Access Management, concedi i ruoli IAM a insiemi di identità esterne in modo che possano accedere e interagire con il tuo ambiente:
Per un elenco dei ruoli specifici di Cloud Composer, consulta Concedere i ruoli agli utenti. Ad esempio, il ruolo Visualizzatore utenti ambiente e oggetti Storage (
composer.environmentAndStorageObjectViewer) consente a un utente di visualizzare gli ambienti, accedere all'interfaccia utente di Airflow, visualizzare e attivare i DAG dall'interfaccia utente DAG e visualizzare gli oggetti nei bucket dell'ambiente.Per istruzioni su come assegnare questi ruoli agli utenti esterni, consulta Concedere ruoli IAM ai principali.
Per un formato per rappresentare le identità esterne nei criteri IAM, consulta Rappresentare gli utenti del pool di personale nei criteri IAM.
Verificare che i nuovi utenti ricevano i ruoli Airflow corretti nel controllo dell'accesso all'interfaccia utente di Airflow
Cloud Composer gestisce gli utenti di Airflow per le identità esterne allo stesso modo degli utenti dell'Account Google. Invece di un indirizzo email, viene utilizzato un identificatore principale. Quando un'identità esterna accede all'interfaccia utente di Airflow per la prima volta, un utente Airflow viene registrato automaticamente nel sistema di controllo dell'accesso basato sui ruoli di Airflow con il ruolo predefinito.
Verifica che i nuovi utenti ricevano i ruoli Airflow corretti nel Controllo dell'accesso all'interfaccia utente di Airflow. Hai due opzioni:
- Consenti alle identità esterne di ricevere il ruolo predefinito dopo aver eseguito l'accesso per la prima volta all'UI di Airflow. Se necessario, gli utenti amministratore di Airflow possono cambiare questo ruolo con un altro.
Preregistra le identità esterne con un insieme di ruoli obbligatori aggiungendo record utente di Airflow con i campi nome utente e email impostati sui relativi identificatori principali. In questo modo, le identità esterne ottengono il ruolo che hai assegnato, non quello predefinito.
Accedere alla pagina Cloud Composer nella console Google Cloud
La Google Cloud console della federazione delle identità per la forza lavoro consente di accedere alla pagina di Cloud Composer.
Dalla pagina Composer nella console Google Cloud Workforce Identity Federation, puoi accedere all'interfaccia utente per la gestione degli ambienti, i log di Cloud Composer, il monitoraggio e l'interfaccia utente DAG.
Tutti i link all'interfaccia utente di Airflow nella console federata rimandano al punto di accesso all'interfaccia utente di Airflow per le identità esterne.
Accedere all'interfaccia utente di Airflow
Gli ambienti Cloud Composer hanno due URL per l'interfaccia utente di Airflow: uno per gli Account Google e un altro per le identità esterne. Le identità esterne devono accedere all'interfaccia utente di Airflow tramite l'URL per le identità esterne.
L'URL per le identità esterne è
https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.L'URL per gli Account Google è
https://<UNIQUE_ID>.composer.googleusercontent.com.
Solo gli utenti autenticati con identità esterne possono accedere all'URL per le identità esterne. Se un utente visita l'URL per le identità esterne senza aver eseguito l'accesso, viene prima reindirizzato al portale di autenticazione, dove deve specificare il nome del provider del pool di personale, poi al proprio provider di identità per accedere e infine all'interfaccia utente di Airflow dell'ambiente.
Accedere all'interfaccia utente del DAG nella console Google Cloud
L'interfaccia utente DAG è disponibile per gli utenti con identità esterne nell'ambito della console federata. Puoi controllare l'accesso con i criteri IAM.
Viene preso in considerazione anche l'accesso basato sui ruoli di Airflow negli ambienti con supporto completo della federazione delle identità per la forza lavoro e può essere utilizzato per limitare i DAG visibili per i singoli utenti configurando i ruoli, come descritto in Utilizzare il controllo dell'accesso all'interfaccia utente di Airflow.
Accedere a Google Cloud CLI
Per accedere al tuo ambiente tramite Google Cloud CLI, le identità esterne devono:
- Accedi con Google Cloud CLI utilizzando un'identità esterna.
- Esegui i comandi
gcloud composer environments.
Accedere all'API Cloud Composer
L'API Cloud Composer può essere utilizzata con identità esterne per gestire tutti gli ambienti Cloud Composer con i metodi di autenticazione supportati, come i token OAuth.
Accedere all'API REST Airflow
L'API REST di Airflow è disponibile all'endpoint per le identità esterne con i metodi di autenticazione supportati, come i token OAuth.
Per ottenere l'URL dell'endpoint per le identità esterne per il tuo ambiente, esegui il seguente comando Google Cloud CLI:
gcloud composer environments describe ENVIRONMENT_NAME \
--location LOCATION \
--format="value(config.airflowByoidUri)"
Sostituisci:
ENVIRONMENT_NAMEcon il nome dell'ambiente.LOCATIONcon la regione in cui si trova l'ambiente.
Esempio:
gcloud composer environments describe example-environment \
--location us-central1 \
--format="value(config.airflowByoidUri)"
Passaggi successivi
- Controllo dell'accesso con IAM
- Utilizzare il controllo dell'accesso all'interfaccia utente di Airflow
- Accedere all'interfaccia a riga di comando Airflow
- Accedere all'API REST Airflow