Configura Secret Manager para tu entorno

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

En esta página, se muestra cómo usar Secret Manager para almacenar las conexiones y secretos de Airflow de forma segura.

Configura Secret Manager para tu entorno

En esta sección, se explica cómo configurar Secret Manager para que puedas usar secretos con tu entorno de Cloud Composer.

Habilita la API de Secret Manager

Console

Enable the Secret Manager API.

Enable the API

gcloud

Enable the Secret Manager API:

gcloud services enable secretmanager.googleapis.com

Configura el control de acceso

Debes configurar el control de acceso para que Airflow pueda acceder a los secretos almacenados en Secret Manager.

Para ello, la cuenta de servicio que accede a los Secrets debe tener un rol con el permiso secretmanager.versions.access Por ejemplo: el rol Administrador de acceso a secretos de Secret Manager incluye este permiso.

Puedes otorgar este rol Nivel secreto, proyecto, organización o carpeta.

Usa una de las siguientes opciones:

Habilita y configura el backend de Secret Manager

  1. Anula la siguiente opción de configuración de Airflow:

    Sección Clave Valor
    secrets backend airflow.providers.google.cloud.secrets.secret_manager.CloudSecretManagerBackend
  2. Anula el siguiente Airflow de Airflow para agregar una configuración opcional de configuración de Terraform:

    Sección Clave Valor
    secrets backend_kwargs Consulta la siguiente descripción.

    El valor backend_kwargs es la representación JSON del objeto backend_kwargs con los siguientes campos:

    • connections_prefix: Es el prefijo del nombre del secreto que se debe leer para que se pueda hacer lo siguiente: get Connections. El valor predeterminado es airflow-connections.
    • variables_prefix: Es el prefijo del nombre del secreto que se debe leer para obtener los datos. variables. El valor predeterminado es airflow-variables.
    • gcp_key_path: Es la ruta de acceso al archivo JSON de credenciales de Google Cloud (si no se proporciona, se usará la cuenta de servicio predeterminada).
    • gcp_keyfile_dict: Es el diccionario JSON de credenciales de Google Cloud. Mutuamente exclusivos con gcp_key_path.
    • sep: El separador se usa para concatenar connections_prefix y conn_id El valor predeterminado es -.
    • project_id: Es el ID del proyecto de Google Cloud en el que se almacenan los secretos.

    Por ejemplo, el valor de backend_kwargs puede ser: {"project_id": "<project id>", "connections_prefix":"example-connections", "variables_prefix":"example-variables", "sep":"-"}

Agrega conexiones y variables en Secret Manager

Crea secretos siguiendo los pasos que se describen en Crea secretos y versiones.

Variables

  • Debe usar el formato [variables_prefix][sep][variable_name].
  • El valor predeterminado para [variables_prefix] es airflow-variables.
  • El separador predeterminado [sep] es -

Por ejemplo, si el nombre de la variable es example-var, el nombre del secreto es airflow-variables-example-var.

Nombres de las conexiones

  • Debe usar el formato [connection_prefix][sep][connection_name].
  • El valor predeterminado para [connection_prefix] es airflow-connections.
  • El separador predeterminado [sep] es -

Por ejemplo, si el nombre de la conexión es exampleConnection, el nombre del secreto es airflow-connections-exampleConnection.

Valores de conexión

  • Debe usar la representación de URI. Por ejemplo, postgresql://login:secret@examplehost:9000

  • El URI debe estar codificado como URL (codificado como porcentaje). Por ejemplo, una contraseña que tiene un símbolo de espacio debe estar codificada como URL de la siguiente manera: postgresql://login:secret%20password@examplehost:9000.

Airflow dispone de un método conveniente para generar conexiones URIs. Puedes encontrar un ejemplo de cómo codificar un URL complejo con elementos JSON adicionales en la documentación de Airflow.

Usa Secret Manager con Cloud Composer

Cuando recuperas variables y conexiones, Cloud Composer verifica Secret Manager primero. Si no se encuentra la variable o la conexión solicitada, Cloud Composer verifica las variables de entorno y la base de datos de Airflow.

Cómo leer variables con plantillas de Jinja

Puedes usar Secret Manager para leer variables con Plantillas de Jinja para campos de operador con plantilla (se resuelve en el momento de la ejecución).

Para el secreto airflow-variables-secret_filename:

file_name = '{{var.value.secret_filename}}'

Lee variables con operadores personalizados y devoluciones de llamada

También puedes usar Secret Manager para leer variables en operadores personalizados o métodos de devolución de llamada de los operadores. Leyendo variables de dentro de los DAG puede afectar negativamente el rendimiento, así que usa las plantillas de Jinja. si quieres usar variables en tus DAG.

Por ejemplo, para el secreto airflow-variables-secret_filename, haz lo siguiente:

from airflow.models.variable import Variable
file_name = Variable.get('secret_filename')

Leer conexiones

A menos que escribas un operador personalizado, rara vez necesitas acceder directamente a las conexiones. La mayoría de los hooks reciben el nombre de conexión como su parámetro de creación de instancias, y deben recuperar las conexiones del backend del secreto automáticamente cuando se ejecutan las tareas.

Leer las conexiones directamente puede ser útil cuando escribes tu propio hook.

Por ejemplo, para la conexión airflow-connections-exampleConnection:

from airflow.hooks.base_hook import BaseHook
exampleConnection = BaseHook.get_connection('exampleConnection')

BaseHook.get_connection muestra un objeto Connection. Es posible obtener la representación de string de URI de una conexión como esta:

exampleConnectionUri = BaseHook.get_connection('exampleConnection').get_uri()

¿Qué sigue?