Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Halaman ini menjelaskan cara mengakses resource yang berada di project Google Cloud yang berbeda dengan lingkungan Cloud Composer Anda.
Sebaiknya akses resource di project Google Cloud lain dengan cara berikut:
Di DAG, gunakan koneksi default yang telah dikonfigurasi sebelumnya di lingkungan Anda.
Misalnya, koneksi
google_cloud_default
digunakan oleh banyak operator Google Cloud dan dikonfigurasi secara otomatis saat Anda membuat lingkungan.Berikan izin dan peran IAM tambahan ke akun layanan lingkungan Anda, sehingga dapat mengakses resource di project lain.
Menentukan akun layanan lingkungan Anda
Untuk menentukan akun layanan lingkungan Anda:
Konsol
Di konsol Google Cloud, buka halaman Environments.
Di daftar lingkungan, klik nama lingkungan Anda. Halaman Environment details akan terbuka.
Buka tab Konfigurasi lingkungan.
Akun layanan lingkungan Anda tercantum di kolom Service account.
Nilainya adalah alamat email, seperti
service-account-name@example-project.iam.gserviceaccount.com
.
gcloud
gcloud composer environments describe ENVIRONMENT_NAME \
--location LOCATION \
--format="get(config.nodeConfig.serviceAccount)"
Nilainya adalah alamat email, seperti
service-account-name@example-project.iam.gserviceaccount.com
.
Memberikan peran dan izin IAM untuk mengakses resource di project lain
Akun layanan lingkungan Anda memerlukan izin untuk mengakses resource di project lain. Peran dan izin ini dapat berbeda berdasarkan resource yang ingin Anda akses.
Mengakses resource tertentu
Sebaiknya berikan peran dan izin untuk resource tertentu, seperti satu bucket Cloud Storage yang berada di project lain. Dalam pendekatan ini, Anda menggunakan akses berbasis resource dengan binding peran bersyarat.
Untuk mengakses resource tertentu:
- Ikuti panduan Mengonfigurasi akses berbasis resource.
- Saat memberikan peran dan izin, tentukan akun layanan lingkungan Anda sebagai akun utama.
Mengakses jenis resource
Atau, Anda dapat memberikan peran dan izin berdasarkan jenis resource, seperti semua bucket Cloud Storage yang berada di project yang berbeda.
Untuk mengakses jenis resource:
- Ikuti panduan Mengelola akses ke resource lain.
- Saat memberikan peran dan izin, tentukan akun layanan lingkungan Anda sebagai akun utama.
Setelah memberikan izin dan peran yang diperlukan, Anda dapat mengakses resource di project lain dengan koneksi Airflow default yang sama yang Anda gunakan untuk mengakses resource di project tempat lingkungan Anda berada.