Akses lingkungan dengan penggabungan identitas tenaga kerja

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Halaman ini menjelaskan cara mengonfigurasi akses pengguna ke lingkungan Cloud Composer dengan penggabungan identitas tenaga kerja.

Tentang penggabungan identitas tenaga kerja di Cloud Composer

Dengan Workforce identity federation, Anda dapat menggunakan Penyedia Identitas (IdP) eksternal untuk mengautentikasi dan memberi otorisasi kepada tenaga kerja—grup pengguna, seperti karyawan, partner, dan kontraktor—menggunakan IAM, sehingga pengguna dapat mengakses layanan Google Cloud. Untuk informasi selengkapnya tentang penggabungan identitas tenaga kerja, lihat Penggabungan identitas tenaga kerja.

Jika penggabungan identitas tenaga kerja dikonfigurasi di project, Anda dapat mengakses lingkungan Anda dengan cara berikut:

• Halaman Cloud Composer di konsol Google Cloud
• UI Airflow
• Google Cloud CLI, termasuk menjalankan perintah CLI Airflow
• Cloud Composer API
• Airflow REST API

Sebelum memulai

• Semua lingkungan Cloud Composer baru yang dibuat mulai versi 2.1.11 dan Airflow versi 2.4.3 mendukung penggabungan identitas tenaga kerja. Anda tidak perlu mengonfigurasi lingkungan dengan cara tertentu apa pun untuk mendukung penggabungan identitas tenaga kerja.

• Lingkungan yang dibuat sebelum versi 2.1.11 dan Airflow versi 2.4.3 serta diupgrade ke versi yang lebih baru tidak mendukung penggabungan identitas tenaga kerja. Anda dapat memeriksa apakah lingkungan Anda mendukung penggabungan identitas tenaga kerja.

• Batasan Cloud Storage untuk penggabungan identitas tenaga kerja berlaku untuk bucket lingkungan. Secara khusus, Anda harus mengaktifkan akses level bucket seragam pada bucket lingkungan agar identitas eksternal dapat mengupload DAG dan file ke bucket ini.

• Email yang dikirim dari Airflow hanya menyertakan URL UI Airflow untuk Akun Google. Karena identitas eksternal hanya dapat mengakses UI Airflow melalui URL UI Airflow untuk identitas eksternal, link harus disesuaikan (diubah ke URL untuk identitas eksternal).

Menyiapkan akses ke lingkungan Anda dengan penggabungan identitas tenaga kerja

Bagian ini menjelaskan langkah-langkah untuk mengonfigurasi akses identitas eksternal ke lingkungan Cloud Composer.

Konfigurasikan penyedia identitas Anda

Konfigurasikan penggabungan identitas tenaga kerja untuk penyedia identitas Anda dengan mengikuti panduan Mengonfigurasi penggabungan identitas tenaga kerja.

Memberikan peran IAM ke identitas eksternal

Di Identity and Access Management, berikan peran IAM ke serangkaian identitas eksternal, sehingga ID tersebut dapat mengakses dan berinteraksi dengan lingkungan Anda:

• Untuk mengetahui daftar peran khusus Cloud Composer, lihat Memberikan peran kepada pengguna. Misalnya, peran Environment User and Storage Object Viewer (composer.environmentAndStorageObjectViewer) memungkinkan pengguna melihat lingkungan, mengakses UI Airflow, melihat dan memicu DAG dari DAG UI, serta melihat objek di bucket lingkungan.

• Untuk mengetahui petunjuk cara menetapkan peran ini ke pengguna eksternal, lihat Memberikan peran IAM ke akun utama.

• Untuk format yang mewakili identitas eksternal dalam kebijakan IAM, lihat Mewakili pengguna kumpulan tenaga kerja dalam kebijakan IAM.

Memastikan pengguna baru menerima peran Airflow yang benar di Kontrol Akses UI Airflow

Cloud Composer menangani pengguna Airflow untuk identitas eksternal dengan cara yang sama seperti untuk pengguna Akun Google. Menggunakan ID utama, bukan alamat email. Saat identitas eksternal mengakses UI Airflow untuk pertama kalinya, pengguna Airflow akan otomatis terdaftar di sistem kontrol akses berbasis peran Airflow dengan peran default.

Pastikan pengguna baru menerima peran Airflow yang benar di Kontrol Akses UI Airflow. Anda memiliki dua opsi:

• Mengizinkan identitas eksternal menerima peran default setelah mereka mengakses UI Airflow untuk pertama kalinya. Jika diperlukan, pengguna admin Airflow kemudian dapat mengubah peran ini ke peran lain.

• Pradaftar identitas eksternal dengan serangkaian peran yang diperlukan dengan menambahkan data pengguna Airflow yang berisi nama pengguna dan kolom email yang ditetapkan ke ID utamanya. Dengan cara ini, identitas eksternal mendapatkan peran yang Anda tetapkan kepadanya, bukan peran default.

Memeriksa apakah lingkungan mendukung penggabungan identitas tenaga kerja

Untuk memeriksa apakah lingkungan Anda mendukung penggabungan identitas tenaga kerja, jalankan perintah Google Cloud CLI berikut. Jika output menampilkan URI, berarti lingkungan Anda mendukung penggabungan identitas tenaga kerja.

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Ganti:

• ENVIRONMENT_NAME dengan nama lingkungan.
• LOCATION dengan region tempat lingkungan berada.

Contoh:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

Mengakses halaman Cloud Composer di Konsol Google Cloud

Konsol federasi identitas tenaga kerja Google Cloud menyediakan akses ke halaman Cloud Composer.

Dari halaman Composer di konsol penggabungan identitas tenaga kerja Google Cloud, Anda dapat mengakses UI untuk mengelola lingkungan, log Cloud Composer, pemantauan, dan UI DAG.

Semua link ke UI Airflow di konsol gabungan mengarah ke titik akses UI Airflow untuk identitas eksternal.

Lingkungan dalam versi yang lebih lama dari 2.1.11 dan/atau Airflow versi yang lebih lama dari 2.4.3 mungkin memiliki link UI Airflow yang ditandai sebagai "Not available". Hal ini menunjukkan bahwa lingkungan ini tidak mendukung pengguna penggabungan identitas tenaga kerja di UI Airflow. UI Airflow untuk lingkungan ini hanya dapat diakses dengan Akun Google.

Mengakses UI Airflow

Lingkungan Cloud Composer memiliki dua URL untuk UI Airflow: satu untuk akun Google dan satu lagi untuk identitas eksternal. Identitas eksternal harus mengakses UI Airflow melalui URL untuk identitas eksternal.

• URL untuk identitas eksternal adalah https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.

• URL untuk Akun Google adalah https://<UNIQUE_ID>.composer.googleusercontent.com.

Hanya pengguna yang diautentikasi dengan identitas eksternal yang dapat mengakses URL untuk identitas eksternal. Jika pengguna mengunjungi URL untuk identitas eksternal saat tidak login, mereka akan dialihkan ke portal autentikasi terlebih dahulu tempat mereka menentukan nama penyedia kumpulan tenaga kerja, lalu dialihkan ke penyedia identitas mereka untuk login, dan akhirnya mereka dialihkan ke UI Airflow lingkungan.

Mengakses UI DAG di Konsol Google Cloud

UI DAG tersedia untuk pengguna identitas eksternal sebagai bagian dari konsol gabungan. Anda dapat mengontrol akses dengan kebijakan IAM.

Akses berbasis peran Airflow di lingkungan dengan dukungan penggabungan identitas tenaga kerja penuh juga dipertimbangkan dan dapat digunakan untuk membatasi DAG mana yang dapat dilihat oleh setiap pengguna dengan menyiapkan peran, seperti yang dijelaskan dalam Menggunakan Kontrol Akses UI Airflow.

Mengakses Google Cloud CLI

Untuk mengakses lingkungan Anda melalui Google Cloud CLI, identitas eksternal harus melakukan hal berikut:

1. Login dengan Google Cloud CLI menggunakan identitas eksternal.
2. Jalankan perintah gcloud composer environments.

Mengakses Cloud Composer API

Cloud Composer API dapat digunakan dengan identitas eksternal untuk mengelola semua lingkungan Composer dengan metode autentikasi yang didukung seperti token OAuth.

Airflow REST API

Airflow REST API tersedia di endpoint untuk identitas eksternal dengan metode autentikasi yang didukung seperti token OAuth.

Guna mendapatkan URL endpoint untuk identitas eksternal bagi lingkungan Anda, gunakan perintah gcloud composer environments describe, seperti ditunjukkan di bagian Memeriksa apakah lingkungan mendukung penggabungan identitas tenaga kerja.

Langkah selanjutnya

• Kontrol akses dengan IAM
• Menggunakan Kontrol Akses UI Airflow
• Mengakses Airflow CLI
• Mengakses Airflow REST API