Akses lingkungan dengan penggabungan identitas tenaga kerja

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Halaman ini menjelaskan cara mengkonfigurasi akses pengguna ke Lingkungan Cloud Composer dengan penggabungan identitas tenaga kerja.

Tentang penggabungan identitas tenaga kerja di Cloud Composer

Dengan integrasi identitas tenaga kerja, Anda dapat menggunakan penyedia identitas eksternal (IdP) untuk mengautentikasi dan memberikan otorisasi kepada tenaga kerja—grup pengguna, seperti karyawan, partner, dan kontraktor—menggunakan IAM, sehingga pengguna dapat mengakses layanan Google Cloud. Untuk informasi selengkapnya tentang tenaga kerja penggabungan identitas, lihat Federasi identitas tenaga kerja.

Jika penggabungan identitas tenaga kerja dikonfigurasi di project, Anda dapat mengakses lingkungan Anda dengan cara berikut:

• Halaman Cloud Composer di konsol Google Cloud
• UI Airflow
• Google Cloud CLI, termasuk menjalankan perintah CLI Airflow
• Cloud Composer API
• Airflow REST API

Sebelum memulai

• Semua lingkungan Cloud Composer baru dibuat mulai dari versi 2.1.11 dan versi Airflow Dukungan 2.4.3 federasi identitas tenaga kerja. Anda tidak perlu mengonfigurasi lingkungan Anda dengan cara tertentu untuk mendukung penggabungan identitas tenaga kerja.

• Lingkungan yang dibuat sebelum versi 2.1.11 dan versi Airflow 2.4.3 dan diupgrade ke versi yang lebih baru tidak mendukung penggabungan identitas tenaga kerja. Anda dapat periksa apakah lingkungan Anda mendukung penggabungan identitas tenaga kerja.

• Batasan Cloud Storage untuk penggabungan identitas tenaga kerja diterapkan ke bucket lingkungan. Khususnya, Anda harus mengaktifkan akses level bucket seragam di bucket lingkungan untuk memungkinkan identitas eksternal mengupload DAG dan ke bucket ini.

• Email yang dikirim dari Airflow hanya menyertakan URL UI Airflow untuk Akun Google. Karena identitas eksternal hanya dapat mengakses UI Airflow melalui UI Airflow URL untuk identitas eksternal, link harus disesuaikan (diubah menjadi URL untuk identitas eksternal).

Menyiapkan akses ke lingkungan Anda dengan penggabungan identitas tenaga kerja

Bagian ini menjelaskan langkah-langkah untuk mengonfigurasi akses identitas eksternal ke lingkungan Cloud Composer.

Konfigurasikan penyedia identitas Anda

Konfigurasi penggabungan identitas tenaga kerja untuk penyedia identitas Anda dengan dengan mengikuti panduan Mengonfigurasi penggabungan identitas tenaga kerja.

Memberikan peran IAM ke identitas eksternal

Di Identity and Access Management, berikan peran IAM ke kumpulan identitas, sehingga mereka dapat mengakses dan berinteraksi dengan lingkungan Anda:

• Untuk mengetahui daftar peran khusus Cloud Composer, lihat Memberikan peran kepada pengguna. Misalnya, Viewer Objek Penyimpanan dan Pengguna Lingkungan (composer.environmentAndStorageObjectViewer) memungkinkan pengguna untuk melihat lingkungan, mengakses UI Airflow, melihat dan memicu DAG dari DAG UI, dan melihat objek dalam bucket lingkungan.

• Untuk petunjuk tentang cara menetapkan peran ini ke pengguna eksternal, lihat Memberikan peran IAM ke akun utama.

• Untuk format yang mewakili identitas eksternal di IAM kebijakan, lihat Mewakili pengguna kumpulan tenaga kerja dalam kebijakan IAM.

Memastikan pengguna baru menerima peran Airflow yang benar di Kontrol Akses UI Airflow

Cloud Composer menangani pengguna Airflow untuk identitas eksternal di cara yang sama seperti untuk pengguna Akun Google. Alih-alih alamat email, ID utama digunakan. Saat identitas eksternal mengakses UI Airflow untuk pertama kalinya, Pengguna Airflow terdaftar secara otomatis dalam akses berbasis peran Airflow sistem kontrol dengan peran default.

Pastikan pengguna baru menerima peran Airflow yang benar di Kontrol Akses UI Airflow. Anda memiliki dua opsi:

• Mengizinkan identitas eksternal menerima peran default setelah mengakses Airflow untuk pertama kalinya. Jika diperlukan, pengguna admin Airflow kemudian dapat mengubah peran ini ke peran yang berbeda.

• Pradaftar identitas eksternal dengan set peran yang diperlukan dengan menambahkan catatan pengguna Airflow beserta nama pengguna dan yang disetel ke ID utamanya. Dengan cara ini, eksternal mendapatkan peran yang Anda tetapkan, bukan peran {i>default<i}.

Memeriksa apakah lingkungan mendukung penggabungan identitas tenaga kerja

Untuk memeriksa apakah lingkungan Anda mendukung penggabungan identitas tenaga kerja, jalankan dengan mengikuti perintah Google Cloud CLI. Jika output menampilkan URI, metode lingkungan mendukung penggabungan identitas tenaga kerja.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Ganti:

• ENVIRONMENT_NAME dengan nama lingkungan.
• LOCATION dengan region tempat lingkungan berada.

Contoh:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Mengakses halaman Cloud Composer di Konsol Google Cloud

Konsol penggabungan identitas tenaga kerja Google Cloud memberikan akses ke halaman Cloud Composer.

Dari halaman Composer di gabungan identitas tenaga kerja Google Cloud konsol, Anda dapat mengakses UI untuk mengelola lingkungan, Log Cloud Composer, pemantauan, dan UI DAG.

Semua link ke UI Airflow di konsol gabungan mengarah ke UI Airflow titik akses untuk identitas eksternal.

Lingkungan dalam versi yang lebih lama dari 2.1.11 dan/atau Airflow versi sebelumnya dari 2.4.3 mungkin memiliki UI Airflow mereka tautan yang ditandai sebagai "Tidak tersedia". Hal ini menunjukkan bahwa lingkungan ini tidak mendukung pengguna penggabungan identitas tenaga kerja di UI Airflow. UI Airflow untuk ini lingkungan hanya dapat diakses dengan akun Google.

Mengakses UI Airflow

Lingkungan Cloud Composer memiliki dua URL untuk UI Airflow: satu untuk akun Google dan akun lain untuk identitas eksternal. Identitas eksternal harus mengakses UI Airflow melalui URL untuk identitas eksternal.

• URL untuk identitas eksternal adalah https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.

• URL untuk Akun Google adalah https://<UNIQUE_ID>.composer.googleusercontent.com.

Hanya pengguna yang diautentikasi dengan identitas eksternal yang dapat mengakses URL untuk identitas eksternal. Jika pengguna mengunjungi URL untuk identitas eksternal tanpa login, mereka akan dialihkan ke portal autentikasi terlebih dahulu di mana mereka menyebutkan nama penyedia kumpulan tenaga kerja, maka mereka dialihkan ke penyedia identitas mereka untuk masuk, dan akhirnya mereka dialihkan ke UI Airflow lingkungan.

Mengakses UI DAG di Konsol Google Cloud

DAG UI tersedia untuk pengguna identitas eksternal sebagai bagian dari konsol gabungan. Anda dapat mengontrol akses dengan kebijakan IAM.

Akses berbasis peran Airflow di lingkungan dengan identitas tenaga kerja penuh dukungan gabungan juga dipertimbangkan dan dapat digunakan untuk membatasi DAG dapat dilihat oleh setiap pengguna dengan menyiapkan peran, seperti yang dijelaskan dalam Menggunakan Kontrol Akses UI Airflow.

Mengakses Google Cloud CLI

Untuk mengakses lingkungan melalui Google Cloud CLI, identitas eksternal harus lakukan hal berikut:

1. Login dengan Google Cloud CLI menggunakan identitas eksternal.
2. Jalankan perintah gcloud composer environments.

Mengakses Cloud Composer API

Cloud Composer API dapat digunakan dengan identitas eksternal untuk mengelola semua lingkungan Composer dengan metode autentikasi yang didukung seperti token OAuth.

Airflow REST API

Airflow REST API tersedia di endpoint untuk identitas eksternal dengan model metode otentikasi seperti token OAuth.

Guna mendapatkan URL endpoint untuk identitas eksternal lingkungan Anda, gunakan perintah gcloud composer environments describe, seperti yang ditunjukkan dalam Memeriksa apakah lingkungan mendukung penggabungan identitas tenaga kerja bagian.

Langkah selanjutnya

• Kontrol akses dengan IAM
• Menggunakan Kontrol Akses UI Airflow
• Mengakses Airflow CLI
• Mengakses Airflow REST API