Cloud Composer 1 befindet sich im Modus nach der Wartung. Google veröffentlicht keine weiteren Updates für Cloud Composer 1, einschließlich neuer Versionen von Airflow, Fehlerkorrekturen und Sicherheitsupdates. Wir empfehlen die Migration zu Cloud Composer 2.

Diese Seite wurde von der Cloud Translation API übersetzt.

Mit Mitarbeiteridentitätsföderation auf Umgebungen zugreifen

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Auf dieser Seite wird beschrieben, wie Sie den Nutzerzugriff auf Ihre Cloud Composer-Umgebung mit Mitarbeiteridentitätsföderation.

Mitarbeiteridentitätsföderation in Cloud Composer

Mit der Workforce Identity-Föderation können Sie einen externen Identitätsanbieter (IdP) verwenden, um eine Gruppe von Nutzern, z. B. Mitarbeiter, Partner und Auftragnehmer, mithilfe von IAM zu authentifizieren und zu autorisieren, damit die Nutzer auf Google Cloud-Dienste zugreifen können. Weitere Informationen zu Mitarbeitern Identitätsföderation, siehe Mitarbeiteridentitätsföderation

Wenn die Mitarbeiteridentitätsföderation in Ihrem Projekt konfiguriert ist, können Sie auf Ihre Umgebung:

Seite „Cloud Composer“ in der Google Cloud Console
Airflow-UI
Google Cloud CLI, einschließlich Ausführen von Airflow-Kommandozeilenbefehlen
Cloud Composer API
Airflow REST API

Hinweise

Alle neuen Cloud Composer-Umgebungen, die ab Version erstellt wurden 2.1.11 und Airflow-Version 2.4.3-Unterstützung Mitarbeiteridentitätsföderation. Sie müssen Ihre Umgebung nicht speziell konfigurieren, um die Mitarbeiteridentitätsföderation zu unterstützen.

Wichtig: Unterstützung der Mitarbeiteridentitätsföderation in Cloud Composer bietet nicht automatisch einen neuen Zugriff für externe Identitäten zu Ihrer Umgebung. Solange Sie keine Konfigurieren Sie den Zugriff über einen externen Identitätsanbieter und gewähren Sie Zugriff Berechtigungen für externe Identitäten gewährt, können die externen Identitäten nicht auf für Ihre Umgebung.
Umgebungen, die vor Version 2.1.11 und Airflow-Version 2.4.3 erstellt und auf eine spätere Version umgestellt wurden, unterstützen die Workforce Identity-Föderation nicht. Sie können prüfen, ob Ihre Umgebung die Mitarbeiteridentitätsföderation unterstützt.
Cloud Storage-Einschränkungen für die Mitarbeiteridentitätsföderation auf den Bucket der Umgebung angewendet. Insbesondere müssen Sie den einheitlichen Zugriff auf Bucket-Ebene aktivieren. auf den Bucket der Umgebung, damit externe Identitäten ihre DAGs und in diesen Bucket verschieben.
E-Mails, die von Airflow gesendet werden, enthalten nur den Parameter Airflow-UI-URL für Google-Konten Weil Externe Identitäten können nur über die Airflow-UI auf die Airflow-UI zugreifen URL für externe Identitäten, der Link muss angepasst (geändert in die URL) für externe Identitäten).

Zugriff auf Ihre Umgebung mit Mitarbeiteridentitätsföderation einrichten

In diesem Abschnitt werden die Schritte zum Konfigurieren des Zugriffs für externe Identitäten auf Ihre Cloud Composer-Umgebung beschrieben.

Identitätsanbieter konfigurieren

Konfigurieren Sie die Mitarbeiteridentitätsföderation für Ihren Identitätsanbieter, indem Sie und befolgen Sie die Anleitung unter Mitarbeiteridentitätsföderation konfigurieren.

Externen Identitäten IAM-Rollen zuweisen

Weisen Sie in Identity and Access Management Gruppen externer Identitäten, damit sie auf Ihre Umgebung zugreifen und mit ihr interagieren können:

Eine Liste der für Cloud Composer spezifischen Rollen finden Sie unter Nutzern Rollen zuweisen Mit der Rolle Umgebungsnutzer und Betrachter von Storage-Objekten (composer.environmentAndStorageObjectViewer) kann ein Nutzer beispielsweise Umgebungen aufrufen, auf die Airflow-Benutzeroberfläche zugreifen, DAGs über die DAG-Benutzeroberfläche aufrufen und auslösen sowie Objekte in Umgebungs-Buckets aufrufen.
Eine Anleitung zum Zuweisen dieser Rollen an externe Nutzer finden Sie unter Principals IAM-Rollen zuweisen.
Für ein Format zur Darstellung externer Identitäten in IAM finden Sie unter Personalpoolnutzer in IAM-Richtlinien darstellen

Prüfen, ob neue Nutzer in der Airflow-UI-Zugriffssteuerung die richtigen Airflow-Rollen erhalten

Cloud Composer verarbeitet Airflow-Nutzer für externe Identitäten in Dies funktioniert genauso wie bei Nutzern von Google-Konten. Anstelle einer E-Mail-Adresse wird eine Haupt-ID verwendet. Wenn eine externe Identität zum ersten Mal auf die Airflow-Benutzeroberfläche zugreift, wird ein Airflow-Nutzer automatisch im Airflow-System für die rollenbasierte Zugriffssteuerung mit der Standardrolle registriert.

Prüfen Sie, ob neue Nutzer die richtigen Airflow-Rollen erhalten in Zugriffssteuerung in der Airflow-Benutzeroberfläche Es stehen zwei Optionen zur Verfügung:

Externen Identitäten die Standardrolle zuweisen, nachdem sie zum ersten Mal auf die Airflow-Benutzeroberfläche zugegriffen haben Bei Bedarf können Airflow-Administratoren diese Rolle einem anderen zuzuweisen.
Externe Identitäten mit einer Reihe erforderlicher Rollen vorab registrieren, indem Sie Airflow-Nutzereinträge hinzufügen, bei denen die Felder für den Nutzernamen und die E-Mail-Adresse auf ihre Haupt-IDs festgelegt sind. So erhalten externe Identitäten die Rolle, die Sie ihnen zugewiesen haben, nicht die Standardrolle.

Wichtig: Die Airflow-UI-Zugriffssteuerung unterstützt nur die Kennungsformat für einzelne Identitäten. Gruppen und Identitäten mit einem bestimmten Attribut werden nicht unterstützt.

Prüfen, ob eine Umgebung die Mitarbeiteridentitätsföderation unterstützt

Um zu prüfen, ob Ihre Umgebung die Mitarbeiteridentitätsföderation unterstützt, führen Sie den folgenden Google Cloud CLI-Befehl. Wenn die Ausgabe einen URI enthält, die Mitarbeiteridentitätsföderation unterstützt.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Ersetzen Sie:

ENVIRONMENT_NAME durch den Namen der Umgebung.
LOCATION durch die Region, in der sich die Umgebung befindet.

Beispiel:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Cloud Composer-Seite in der Google Cloud Console aufrufen

Google Cloud-Konsole für Mitarbeiteridentitätsföderation Zugriff auf die Seite „Cloud Composer“.

Über die Seite Composer in der Google Cloud-Mitarbeiteridentitätsföderation können Sie auf die UI zum Verwalten von Umgebungen Cloud Composer-Logs, Monitoring und DAG-UI

Alle Links zur Airflow-UI in der föderierten Konsole verweisen auf die Airflow-UI Zugriffspunkt für externe Identitäten.

Umgebungen in Versionen vor dem 2.1.11 und/oder frühere Airflow-Versionen als Version 2.4.3 haben möglicherweise ihre Airflow-UI Links, die als „Nicht verfügbar“ gekennzeichnet sind. Das bedeutet, dass diese Umgebung Support für Nutzer der Mitarbeiteridentitätsföderation in der Airflow-UI. Airflow-UI dafür Der Zugriff auf die Umgebung ist nur mit Google-Konten möglich.

Auf Airflow-UI zugreifen

Cloud Composer-Umgebungen haben zwei URLs für die Airflow-UI: eine für Google-Konten und ein weiteres für externe Identitäten. Externe Identitäten muss über die URL für externe Identitäten auf die Airflow-UI zugreifen.

Die URL für externe Identitäten lautet https://<UNIQUE_ID>.composer.byoid.googleusercontent.com
Die URL für Google-Konten lautet https://<UNIQUE_ID>.composer.googleusercontent.com.

Hinweis: Dienstkonten (Sie erkennen sie anhand von IDs, die auf .iam.gserviceaccount.com enden). gelten als Google-Konten. .composer.googleusercontent.com verwenden Adresse, wenn Sie mit Airflow über ein Google-Dienstkonto arbeiten möchten. Weitere Informationen finden Sie unter Airflow API mit einem Dienstkonto aufrufen.

Nur Nutzer, die mit externen Identitäten authentifiziert sind, können auf die URL für externe Identitäten zugreifen. Wenn ein Nutzer die URL für externe Identitäten aufruft Wenn er nicht angemeldet ist, wird er zuerst zum Authentifizierungsportal weitergeleitet. in der sie den Namen des Personalpools angeben, zur Anmeldung an den Identitätsanbieter weitergeleitet an die Airflow-UI der Umgebung weitergeleitet.

In der Google Cloud Console auf die DAG-UI zugreifen

Die DAG-UI ist für externe Identitätsnutzer verfügbar Teil der föderierten Konsole sein. Sie können können Sie den Zugriff mit IAM-Richtlinien steuern.

Der rollenbasierte Zugriff von Airflow in Umgebungen mit vollständiger Unterstützung der Mitarbeiteridentitätsföderation wird ebenfalls berücksichtigt. Mithilfe von Rollen können Sie festlegen, welche DAGs für einzelne Nutzer sichtbar sind, wie unter Zugriffssteuerung in der Airflow-Benutzeroberfläche verwenden beschrieben.

Auf die Google Cloud CLI zugreifen

Für den Zugriff auf Ihre Umgebung über die Google Cloud CLI müssen externe Identitäten Gehen Sie so vor:

Melden Sie sich mit einer externen Identität in der Google Cloud CLI an.
gcloud composer environments-Befehle ausführen

Auf die Cloud Composer API zugreifen

Die Cloud Composer API kann mit externen Identitäten verwendet werden, um alle Composer-Umgebungen mit den unterstützten Authentifizierungsmethoden wie OAuth-Tokens zu verwalten.

Airflow REST API

Die Airflow REST API ist verfügbar unter Endpunkt für externe Identitäten mit dem unterstützten Authentifizierungsmethoden wie OAuth-Tokens.

Verwenden Sie den Befehl gcloud composer environments describe, um die URL des Endpunkts für externe Identitäten für Ihre Umgebung abzurufen, wie im Abschnitt Prüfen, ob eine Umgebung die Workforce Identity-Föderation unterstützt beschrieben.