存取權控管

本頁面說明 Cloud Composer API 提供的存取權控管選項。

總覽

Cloud Composer API 是使用 Cloud Identity and Access Management (Cloud IAM) 進行存取權控管。

在 Cloud Composer API 中,您可在「專案層級」進行存取權控管設定。例如,您可以為一組開發人員授予某個專案中所有 Cloud Composer API 資源的存取權。

如需 Cloud IAM 和其功能的相關詳細說明,請參閱 Google Cloud Identity and Access Management 開發人員指南,尤其是管理 Cloud IAM 政策一節。

每種 Cloud Composer API 方法都會要求呼叫者具備必要權限,詳情請參閱權限與角色一節。

所需權限

下表列出呼叫者在 Cloud Composer API 中呼叫每個 API 方法所需的權限,或是透過使用 API 的 GCP 工具 (例如 Google Cloud Platform 主控台或 Cloud SDK) 執行工作所需的權限。

方法 權限
environments.create composer.environments.create
environments.delete composer.environments.delete
environments.get composer.environments.get
environments.list composer.environments.list
environments.update composer.environments.update
operations.delete composer.operations.delete
operations.get composer.operations.get
operations.list composer.operations.list

角色

Cloud Composer 角色

角色 名稱 說明 權限 最低資源
roles/
composer.admin
Composer 系統管理員 提供 Cloud Composer 資源的完整控制權。 composer.*
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
專案
roles/
composer.environmentAndStorageObjectAdmin
環境與 Storage 物件管理員 提供 Cloud Composer 資源和所有專案值區內物件的完整控管權限。 composer.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.objects.*
專案
roles/
composer.environmentAndStorageObjectViewer
環境使用者與 Storage 物件檢視者 提供列出與取得 Cloud Composer 環境和作業所需的權限。提供對所有專案值區內物件的唯讀存取權。 composer.environments.get
composer.environments.list
composer.operations.get
composer.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.objects.get
storage.objects.list
專案
roles/
composer.user
Composer 使用者 提供列出與取得 Cloud Composer 環境和作業所需的權限。 composer.environments.get
composer.environments.list
composer.operations.get
composer.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
專案
roles/
composer.worker
Composer 工作站 提供執行 Cloud Composer 環境 VM 所需的權限,適用於服務帳戶。 cloudbuild.*
container.*
logging.logEntries.create
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.timeSeries.create
pubsub.snapshots.create
pubsub.snapshots.delete
pubsub.snapshots.get
pubsub.snapshots.list
pubsub.snapshots.seek
pubsub.snapshots.update
pubsub.subscriptions.consume
pubsub.subscriptions.create
pubsub.subscriptions.delete
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.subscriptions.update
pubsub.topics.attachSubscription
pubsub.topics.create
pubsub.topics.delete
pubsub.topics.get
pubsub.topics.list
pubsub.topics.publish
pubsub.topics.update
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
source.repos.get
source.repos.list
storage.buckets.create
storage.buckets.get
storage.buckets.list
storage.objects.*
專案

原始角色

角色 名稱 說明 權限 最低資源
roles/owner 擁有者 可讓使用者獲得 Cloud Composer 資源完整控管權的原始角色。 composer.operations.list
composer.operations.get
composer.operations.delete
composer.environments.list
composer.environments.get
composer.environments.delete
composer.environments.update
composer.environments.create
專案
roles/writer 編輯者 可讓使用者獲得 Cloud Composer 資源完整控管權的原始角色。 composer.operations.list
composer.operations.get
composer.operations.delete
composer.environments.list
composer.environments.get
composer.environments.delete
composer.environments.update
composer.environments.create
專案
roles/reader 檢視者 可讓使用者列出及取得 Cloud Composer 資源的原始角色。 composer.operations.list
composer.operations.get
composer.environments.list
composer.environments.get
專案

一般工作權限

角色是一組權限。本節列出執行一般工作所需的角色或權限。

工作 權限或角色
存取受 Cloud IAP 保護的 Airflow 網頁介面 composer.environments.get
使用「gcloud」指令列工具執行 Airflow CLI composer.environments.get
container.clusters.get
container.clusters.list
container.clusters.getCredentials
在 GCP 主控台中查看「Environments」(環境) 頁面 composer.environments.list
servicemanagement.projectSettings.get
查看 Stackdriver 記錄和指標 roles/logging.viewer
roles/monitoring.viewer
建立環境 composer.environments.create
更新和刪除環境,包括設定環境變數及安裝/更新 Python 套件 environments.delete
environments.update
將檔案上傳至 DAG 和外掛程式資料夾,以及存取記錄資料夾中的 Airflow 記錄 在值區或專案層級指派的 storage.objectAdmin

composer.environments.get 以查詢 DAG 目標值區

透過 gcloud 控管存取權

如要指派預先定義的角色,請執行 gcloud projects get-iam-policy 指令取得目前的政策,使用 roles/composer.admin (Composer 管理員) 角色或 roles/composer.user (Composer 使用者) 角色更新政策繫結,然後執行 gcloud projects set-iam-policy 指令。請參閱 Cloud IAM 說明文件的授予、變更及撤銷資源的存取權頁面,進一步瞭解如何使用 gcloud 指派角色。

如要設定具有特定 Cloud Composer 權限的自訂角色,請執行 gcloud iam roles create 指令,並從角色表中加入所需權限清單。接著使用新設定的自訂角色更新 Cloud IAM 政策。詳情請參閱 Cloud IAM 說明文件中的建立自訂角色頁面。

透過 GCP 主控台控管存取權

您可使用 GCP 主控台控管環境和專案的存取權。

如要在專案層級設定存取權控制:

  1. 在 Google Cloud Platform 主控台開啟 IAM 頁面
  2. 選取您的專案並點按 [Continue] (繼續)。
  3. 按一下 [Add Member] (新增成員)。
  4. 輸入您尚未授予任何 Cloud IAM 角色的新成員電子郵件地址。
  5. 從下拉式選單中選取所需角色。
  6. 按一下 [Add] (新增)
  7. 確認您授予的角色下方有列出該成員。
本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud Composer