Cette page décrit les options de contrôle des accès à votre disposition pour l'API Cloud Composer.
Présentation
L'API Cloud Composer utilise Identity and Access Management (IAM) pour effectuer le contrôle des accès.
Dans l'API Cloud Composer, le contrôle des accès peut être configuré au niveau du projet. Par exemple, vous pouvez accorder à un groupe de développeurs l'accès à toutes les ressources de l'API Cloud Composer d'un projet.
Pour une description détaillée d'IAM et de ses fonctionnalités, consultez la documentation IAM, et en particulier la page Gérer les stratégies IAM.
Pour chaque méthode de l'API Cloud Composer, l'appelant doit disposer des autorisations nécessaires. Pour en savoir plus, consultez la section Autorisations et rôles.
Autorisations requises
Le tableau suivant répertorie les autorisations dont l'appelant doit disposer pour appeler chaque méthode d'API dans l'API Cloud Composer ou pour effectuer des tâches à l'aide des outils Google Cloud qui utilisent l'API (par exemple, Google Cloud Console ou le SDK Cloud).
Méthode | Permission |
---|---|
environments.create |
composer.environments.create iam.serviceAccounts.actAs (sur le compte de service sous lequel l'environnement s'exécutera) |
environments.delete |
composer.environments.delete |
environments.get |
composer.environments.get |
environments.list |
composer.environments.list |
environments.update |
composer.environments.update |
operations.delete |
composer.operations.delete |
operations.get |
composer.operations.get |
operations.list |
composer.operations.list |
Rôles
Rôle | Titre | Description | Autorisations | Ressource la plus basse |
---|---|---|---|---|
roles/ |
Administrateur Composer | Permet un contrôle total des ressources Cloud Composer. |
|
Projet |
roles/ |
Administrateur de l'environnement et des objets Storage | Permet un contrôle total des ressources Cloud Composer ainsi que des objets de tous les buckets du projet. |
|
Projet |
roles/ |
Utilisateur de l'environnement et lecteur des objets Storage | Fournit les autorisations nécessaires pour répertorier et obtenir les environnements et les opérations Cloud Composer. Offre un accès en lecture seule aux objets de tous les buckets du projet. |
|
Projet |
roles/ |
Agent Composer dans le VPC partagé | Rôle qui doit être attribué au compte de service de l'agent Composer dans le projet hôte VPC partagé |
|
|
roles/ |
Utilisateur de Composer | Fournit les autorisations nécessaires pour répertorier et obtenir les environnements et les opérations Cloud Composer. |
|
Projet |
roles/ |
Nœud de calcul Composer | Fournit les autorisations nécessaires pour exécuter une VM avec environnement Cloud Composer. Destiné aux comptes de service. |
|
Projet |
Rôles de base
Rôle | Titre | Description | Autorisations | Ressource la plus basse |
---|---|---|---|---|
roles/owner |
Propriétaire | Rôle de base permettant un contrôle complet sur les ressources Cloud Composer. |
composer.operations.list composer.operations.get composer.operations.delete composer.environments.list composer.environments.get composer.environments.delete composer.environments.update composer.environments.create iam.serviceAccounts.actAs |
Projet |
roles/editor |
Éditeur | Rôle de base permettant un contrôle complet sur les ressources Cloud Composer. |
composer.operations.list composer.operations.get composer.operations.delete composer.environments.list composer.environments.get composer.environments.delete composer.environments.update composer.environments.create iam.serviceAccounts.actAs |
Projet |
roles/reader |
Lecteur | Rôle de base permettant à un utilisateur de répertorier et d'obtenir des ressources Cloud Composer. | composer.operations.list composer.operations.get composer.environments.list composer.environments.get |
Projet |
Autorisations pour les tâches courantes
Les rôles constituent un ensemble d'autorisations. Cette section répertorie les rôles ou les autorisations nécessaires pour effectuer des tâches courantes.
Tâche | Autorisations et/ou rôles |
---|---|
Accéder à l'interface Web Airflow protégée par IAP | composer.environments.get |
Exécuter la CLI Airflow à l'aide de l'outil de ligne de commande "gcloud" | composer.environments.get container.clusters.getCredentials roles/container.developer |
Afficher la page "Environnements" dans Cloud Console | composer.environments.list servicemanagement.projectSettings.get |
Afficher les journaux et les métriques de la suite d'opérations de Google Cloud | roles/logging.viewer roles/monitoring.viewer |
Créez un environnement | composer.environments.create iam.serviceAccounts.actAs (sur le compte de service sous lequel l'environnement s'exécutera) |
Mettre à jour et supprimer un environnement, y compris définir des variables d'environnement et installer/mettre à jour des packages Python | environments.delete environments.update |
Importer des fichiers dans les dossiers DAG et Plug-ins et accéder aux journaux Airflow dans le dossier Journaux. | storage.objectAdmin attribué au niveau du bucket ou du projet composer.environments.get pour rechercher le bucket de destination des DAG |
Contrôle des accès via gcloud
Pour attribuer des rôles prédéfinis, exécutez la commande gcloud projects get-iam-policy
pour obtenir la stratégie actuelle, mettez à jour la liaison de stratégie avec le rôle Administrateur Composer (roles/composer.admin
) ou Utilisateur Composer (roles/composer.user
), puis exécutez la commande gcloud projects set-iam-policy
. Consultez la page Accorder, modifier et révoquer les accès à des ressources de la documentation Cloud IAM pour en savoir plus sur l'attribution de rôles à l'aide de gcloud
gcloud.
Pour configurer un rôle personnalisé avec les autorisations Cloud Composer, exécutez la commande gcloud iam roles create
, y compris la liste d'autorisations souhaitées dans le tableau des rôles.
Ensuite, mettez à jour la stratégie Cloud IAM avec le rôle personnalisé récemment configuré. Pour en savoir plus, consultez la page Créer un rôle personnalisé dans la documentation Cloud IAM.
Contrôle des accès via Cloud Console
Vous pouvez utiliser Cloud Console pour gérer le contrôle des accès de vos environnements et de vos projets.
Pour définir les autorisations d'accès au niveau du projet :
- Accédez à la page IAM dans Google Cloud Console.
- Sélectionnez votre projet, puis cliquez sur Continuer.
- Cliquez sur Ajouter un membre.
- Saisissez l'adresse e-mail d'un nouveau membre à qui vous n'avez pas encore attribué de rôle IAM.
- Sélectionnez le rôle souhaité dans le menu déroulant.
- Cliquez sur Ajouter.
- Vérifiez que le membre est bien répertorié avec le rôle que vous lui avez accordé.