Controle de acesso

Nesta página, você encontra as opções de controle de acesso disponíveis na API do Cloud Composer.

Visão geral

A API do Cloud Composer usa o Cloud Identity and Access Management (Cloud IAM) para realizar o controle de acesso.

Na API do Cloud Composer, é possível configurar o controle de acesso para envolvidos no projeto. Por exemplo, conceda acesso a todos os recursos da API do Cloud Composer em um projeto a um grupo de desenvolvedores.

Para uma descrição detalhada do Cloud IAM e dos recursos dele, consulte o Guia do desenvolvedor do Google Cloud Identity and Access Management. Em especial, consulte a seção Como gerenciar políticas do Cloud IAM.

Todos os métodos da API do Cloud Composer exigem que o autor da chamada tenha as permissões necessárias. Para mais informações, consulte Permissões e papéis.

Permissões necessárias

Na tabela a seguir, você vê uma lista das permissões necessárias para o autor da chamada. Com elas, será possível chamar cada método na API do Cloud Composer ou executar tarefas por meio de ferramentas do GCP que usam a API, como o Console do Google Cloud Platform ou o SDK do Cloud.

Método Permissão
environments.create composer.environments.create
environments.delete composer.environments.delete
environments.get composer.environments.get
environments.list composer.environments.list
environments.update composer.environments.update
operations.delete composer.operations.delete
operations.get composer.operations.get
operations.list composer.operations.list

Papéis

Papéis do Cloud Composer

Papel Nome Descrição Permissões Menor recurso
roles/
composer.admin
Administrador do Composer Concede controle total dos recursos do Cloud Composer. composer.*
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Projeto
roles/
composer.environmentAndStorageObjectAdmin
Administrador de ambiente e de objetos do Storage Concede controle total dos recursos do Cloud Composer e dos objetos em todos os intervalos do projeto. composer.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.objects.*
Projeto
roles/
composer.environmentAndStorageObjectViewer
Leitor de usuários do ambiente e de objetos do Storage Concede as permissões necessárias para listar e receber ambientes e operações do Cloud Composer. Concede acesso somente leitura a objetos em todos os intervalos do projeto. composer.environments.get
composer.environments.list
composer.operations.get
composer.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.objects.get
storage.objects.list
Projeto
roles/
composer.user
Usuário do Composer Concede as permissões necessárias para listar e receber ambientes e operações do Cloud Composer. composer.environments.get
composer.environments.list
composer.operations.get
composer.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Projeto
roles/
composer.worker
Worker do Composer Concede as permissões necessárias para executar uma VM de ambiente do Cloud Composer. Destinado a contas de serviço. cloudbuild.*
container.*
logging.logEntries.create
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.timeSeries.create
pubsub.snapshots.create
pubsub.snapshots.delete
pubsub.snapshots.get
pubsub.snapshots.list
pubsub.snapshots.seek
pubsub.snapshots.update
pubsub.subscriptions.consume
pubsub.subscriptions.create
pubsub.subscriptions.delete
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.subscriptions.update
pubsub.topics.attachSubscription
pubsub.topics.create
pubsub.topics.delete
pubsub.topics.get
pubsub.topics.list
pubsub.topics.publish
pubsub.topics.update
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
source.repos.get
source.repos.list
storage.buckets.create
storage.buckets.get
storage.buckets.list
storage.objects.*
Projeto

Papéis primários

Papel Nome Descrição Permissões Menor recurso
roles/owner Proprietário Papel primário que concede controle total sobre os recursos do Cloud Composer. composer.operations.list
composer.operations.get
composer.operations.delete
composer.environments.list
composer.environments.get
composer.environments.delete
composer.environments.update
composer.environments.create
Projeto
roles/writer Editor Papel primário que concede controle total sobre os recursos do Cloud Composer. composer.operations.list
composer.operations.get
composer.operations.delete
composer.environments.list
composer.environments.get
composer.environments.delete
composer.environments.update
composer.environments.create
Projeto
roles/reader Visualizador Papel primário que permite ao usuário listar e receber recursos do Cloud Composer. composer.operations.list
composer.operations.get
composer.environments.list
composer.environments.get
Projeto

Permissões para tarefas comuns

Os papéis são conjuntos de permissões. Nesta seção, você vê os papéis ou permissões necessários para realizar tarefas comuns.

Tarefa Permissões ou papéis
Acessar a interface da Web do Airflow protegida pelo Cloud IAP composer.environments.get
Executar a CLI do Airflow usando a ferramenta de linha de comando gcloud composer.environments.get
container.clusters.get
container.clusters.list
container.clusters.getCredentials
Visualizar a página "Ambientes" no Console do GCP composer.environments.list
servicemanagement.projectSettings.get
Visualizar registros e métricas do Stackdriver roles/logging.viewer
roles/monitoring.viewer
Criar um ambiente composer.environments.create
Atualizar e excluir um ambiente, incluindo a configuração de variáveis e a instalação/atualização de pacotes Python environments.delete
environments.update
Fazer upload de arquivos para as pastas "DAGs" e "Plug-ins" e acessar registros do Airflow na pasta "Registros" storage.objectAdmin atribuído no nível do intervalo ou para envolvidos no projeto

composer.environments.get para procurar o intervalo de destino do DAG

Controle de acesso por meio do gcloud

Para atribuir papéis predefinidos, execute o comando gcloud projects get-iam-policy para receber a política atual, atualize a vinculação dela com roles/composer.admin (administrador do Composer) ou roles/composer.user (usuário do Composer) e execute o comando gcloud projects set-iam-policy. Para mais informações sobre a atribuição de papéis por meio do gcloud, consulte a página Como conceder, alterar e revogar o acesso aos recursos na documentação do Cloud IAM.

Para configurar um papel personalizado com as permissões do Cloud Composer, execute o comando gcloud iam roles create , incluindo a lista pretendida de permissões da tabela de papéis. Depois, atualize a política do Cloud IAM com o papel personalizado recém-configurado. Consulte a página Como criar um papel personalizado na documentação do Cloud IAM para mais informações.

Controle de acesso por meio do Console do GCP

É possível usar o Console do GCP para gerenciar o controle de acesso de ambientes e projetos.

Para definir os controles de acesso para envolvidos no projeto:

  1. abra a página IAM do Console do Google Cloud Platform;
  2. selecione seu projeto e clique em Continuar;
  3. clique em Adicionar membro;
  4. digite o endereço de e-mail de um novo membro que ainda não tenha um papel do Cloud IAM atribuído;
  5. selecione o papel desejado no menu suspenso;
  6. clique em Adicionar;
  7. verifique se o membro está listado no papel concedido.
Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…