Nesta página, você encontra as opções de controle de acesso disponíveis na API do Cloud Composer.
Visão geral
A API do Cloud Composer usa o Cloud Identity and Access Management (Cloud IAM) para realizar o controle de acesso.
Na API do Cloud Composer, é possível configurar o controle de acesso para envolvidos no projeto. Por exemplo, conceda acesso a todos os recursos da API do Cloud Composer em um projeto a um grupo de desenvolvedores.
Para uma descrição detalhada do Cloud IAM e dos recursos dele, consulte o Guia do desenvolvedor do Google Cloud Identity and Access Management. Em especial, consulte a seção Como gerenciar políticas do Cloud IAM.
Todos os métodos da API do Cloud Composer exigem que o autor da chamada tenha as permissões necessárias. Para mais informações, consulte Permissões e papéis.
Permissões necessárias
Na tabela a seguir, você vê uma lista das permissões necessárias para o autor da chamada. Com elas, será possível chamar cada método na API do Cloud Composer ou executar tarefas por meio de ferramentas do GCP que usam a API, como o Console do Google Cloud Platform ou o SDK do Cloud.
| Método | Permissão |
|---|---|
environments.create |
composer.environments.create |
environments.delete |
composer.environments.delete |
environments.get |
composer.environments.get |
environments.list |
composer.environments.list |
environments.update |
composer.environments.update |
operations.delete |
composer.operations.delete |
operations.get |
composer.operations.get |
operations.list |
composer.operations.list |
Papéis
Papéis do Cloud Composer
| Papel | Nome | Descrição | Permissões | Menor recurso |
|---|---|---|---|---|
roles/ |
Administrador do Composer | Concede controle total dos recursos do Cloud Composer. |
composer.* serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Projeto |
roles/ |
Administrador de ambiente e de objetos do Storage | Concede controle total dos recursos do Cloud Composer e dos objetos em todos os intervalos do projeto. |
composer.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.objects.* |
Projeto |
roles/ |
Leitor de usuários do ambiente e de objetos do Storage | Concede as permissões necessárias para listar e receber ambientes e operações do Cloud Composer. Concede acesso somente leitura a objetos em todos os intervalos do projeto. |
composer.environments.get composer.environments.list composer.operations.get composer.operations.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.objects.get storage.objects.list |
Projeto |
roles/ |
Usuário do Composer | Concede as permissões necessárias para listar e receber ambientes e operações do Cloud Composer. |
composer.environments.get composer.environments.list composer.operations.get composer.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Projeto |
roles/ |
Worker do Composer | Concede as permissões necessárias para executar uma VM de ambiente do Cloud Composer. Destinado a contas de serviço. |
cloudbuild.* container.* logging.logEntries.create monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.create pubsub.snapshots.create pubsub.snapshots.delete pubsub.snapshots.get pubsub.snapshots.list pubsub.snapshots.seek pubsub.snapshots.update pubsub.subscriptions.consume pubsub.subscriptions.create pubsub.subscriptions.delete pubsub.subscriptions.get pubsub.subscriptions.list pubsub.subscriptions.update pubsub.topics.attachSubscription pubsub.topics.create pubsub.topics.delete pubsub.topics.get pubsub.topics.list pubsub.topics.publish pubsub.topics.update resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.* |
Projeto |
Papéis primários
| Papel | Nome | Descrição | Permissões | Menor recurso |
|---|---|---|---|---|
roles/owner |
Proprietário | Papel primário que concede controle total sobre os recursos do Cloud Composer. |
composer.operations.list composer.operations.get composer.operations.delete composer.environments.list composer.environments.get composer.environments.delete composer.environments.update composer.environments.create |
Projeto |
roles/writer |
Editor | Papel primário que concede controle total sobre os recursos do Cloud Composer. |
composer.operations.list composer.operations.get composer.operations.delete composer.environments.list composer.environments.get composer.environments.delete composer.environments.update composer.environments.create |
Projeto |
roles/reader |
Visualizador | Papel primário que permite ao usuário listar e receber recursos do Cloud Composer. |
composer.operations.list composer.operations.get composer.environments.list composer.environments.get |
Projeto |
Permissões para tarefas comuns
Os papéis são conjuntos de permissões. Nesta seção, você vê os papéis ou permissões necessários para realizar tarefas comuns.
| Tarefa | Permissões ou papéis |
|---|---|
| Acessar a interface da Web do Airflow protegida pelo Cloud IAP | composer.environments.get |
| Executar a CLI do Airflow usando a ferramenta de linha de comando gcloud |
composer.environments.get container.clusters.get container.clusters.list container.clusters.getCredentials |
| Visualizar a página "Ambientes" no Console do GCP |
composer.environments.list servicemanagement.projectSettings.get |
| Visualizar registros e métricas do Stackdriver |
roles/logging.viewer roles/monitoring.viewer |
| Criar um ambiente | composer.environments.create |
| Atualizar e excluir um ambiente, incluindo a configuração de variáveis e a instalação/atualização de pacotes Python |
environments.delete environments.update |
| Fazer upload de arquivos para as pastas "DAGs" e "Plug-ins" e acessar registros do Airflow na pasta "Registros" | storage.objectAdmin atribuído no nível do intervalo ou para envolvidos no projeto composer.environments.get para procurar o intervalo de destino do DAG |
Controle de acesso por meio do gcloud
Para atribuir papéis predefinidos, execute o comando gcloud projects get-iam-policy para receber a política atual, atualize a vinculação dela com roles/composer.admin (administrador do Composer) ou roles/composer.user (usuário do Composer) e execute o comando gcloud projects set-iam-policy. Para mais informações sobre a atribuição de papéis por meio do gcloud, consulte a página Como conceder, alterar e revogar o acesso aos recursos na documentação do Cloud IAM.
Para configurar um papel personalizado com as permissões do Cloud Composer, execute o comando gcloud iam roles create , incluindo a lista pretendida de permissões da tabela de papéis.
Depois, atualize a política do Cloud IAM com o papel personalizado recém-configurado. Consulte a página Como criar um papel personalizado na documentação do Cloud IAM para mais informações.
Controle de acesso por meio do Console do GCP
É possível usar o Console do GCP para gerenciar o controle de acesso de ambientes e projetos.
Para definir os controles de acesso para envolvidos no projeto:
- abra a página IAM do Console do Google Cloud Platform;
- selecione seu projeto e clique em Continuar;
- clique em Adicionar membro;
- digite o endereço de e-mail de um novo membro que ainda não tenha um papel do Cloud IAM atribuído;
- selecione o papel desejado no menu suspenso;
- clique em Adicionar;
- verifique se o membro está listado no papel concedido.
