OSS ソリューションの成功とお客様の嗜好の高まりをより強く受け入れるため、Cloud Composer は Managed Service for Apache Airflow に進化します。この名称変更により、ポートフォリオに対するお客様の理解が深まり、最もオープンなクラウドエコシステムを目指す Google の取り組みが強化されます。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

環境に Secret Manager を構成する

Managed Airflow（Gen 3） | Managed Airflow（Gen 2） | Managed Airflow（レガシー Gen 1）

このページでは、Secret Manager を使用して Airflow の接続とシークレットを安全に格納する方法を説明します。

始める前に

Secret Manager を使用するには、Managed Airflow 環境で Airflow 1.10.10 以降と Python 3.6 以降を使用する必要があります。
Python 2 はサポートされていません。

環境に Secret Manager を構成する

このセクションでは、Managed Airflow 環境で Secret を使用できるように、Secret Manager を構成する方法について説明します。

Secret Manager API を有効にする

コンソール

Secret Manager API を有効にします。

API を有効にするために必要なロール

API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール（roles/serviceusage.serviceUsageAdmin）が必要です。詳しくは、ロールを付与する方法をご覧ください。

API の有効化

gcloud

Secret Manager API を有効にします。

API を有効にするために必要なロール

API を有効にするには、権限を含む Service Usage 管理者 IAM ロール（roles/serviceusage.serviceUsageAdmin）が必要です。serviceusage.services.enable詳しくは、ロールを付与する方法をご覧ください。

gcloud services enable secretmanager.googleapis.com

アクセス制御の構成

Airflow が Secret Manager に保存されているシークレットにアクセスできるように、アクセス制御を構成する必要があります。

そのためには、シークレットにアクセスするサービスアカウントに secretmanager.versions.access 権限を持つロールが付与されている必要があります。たとえば、Secret Manager Secret Accessor のロールにはこの権限が含まれています。

このロールは、シークレットレベル、プロジェクトレベル、フォルダレベル、または組織レベルで付与できます。

以下のいずれかの方法を選択します。

（推奨）お使いの環境のサービスアカウントにこのロールを付与します。
Airflow が Secret Manager にアクセスするサービスアカウントをオーバーライドします。

注意: この方法では、サービスアカウントの認証情報をファイルに保存する必要があり、不正使用されるリスクが高くなるため、あまりおすすめできません。
1. サービスアカウントにこのロールを付与します。
2. backend_kwargs Airflow 構成オプションの gcp_key_path パラメータを設定して、サービスアカウントの認証情報を含む JSON ファイルを指すようにします。

DAG のシリアル化を有効にする

一般に、Secret Manager のバックエンドは、演算子の execute() メソッド内から、または Jinja テンプレートでのみ使用してください。たとえば、変数は var.value.example_var を使用して取得できます。

Airflow ウェブサーバーは、権限が制限された別のサービスアカウントで実行されるため、Secret Manager のシークレットにアクセスできません。DAG コードが（タスクだけでなく）DAG の処理中にシークレットにアクセスし、execute() メソッド内からシークレットにアクセスするように調整できない場合は、DAG のシリアル化を有効にします。これにより、Airflow ウェブサーバーは処理された DAG を受け取り、Secret にアクセスする必要がなくなります。

Secret Manager バックエンドを有効にして構成する

次の Airflow 構成オプションをオーバーライドします。

セクションキー値

secrets backend airflow.providers.google.cloud.secrets.secret_manager.CloudSecretManagerBackend

**注意:** は使用しないでください。この値では Airflow UI でログを表示できません。
airflow.contrib.secrets.gcp_secrets_manager.CloudSecretsManagerBackend
次の Airflow 構成オプションをオーバーライドして、オプションの設定を追加します。

セクションキー値

secrets backend_kwargs 以下の説明をご覧ください。

backend_kwargs 値は次の項目を持つ backend_kwargs オブジェクトの JSON 表現です。
- connections_prefix: 接続を取得するために読み取るシークレット名の接頭辞。デフォルトは airflow-connections です。
- variables_prefix: 変数を取得するために読み取るシークレット名の接頭辞。デフォルトのは airflow-variables です。
- gcp_key_path: Google Cloud 認証情報の JSON ファイルへのパス（指定しない場合、デフォルトのサービスアカウントが使用されます）。
- gcp_keyfile_dict: Google Cloud 認証情報の JSON 辞書。gcp_key_path とは相互に排他的です。
- sep: connections_prefix と conn_id を連結する際に使用する区切り文字。デフォルトは - です。
- project_id: シークレットが保存されている Google Cloud プロジェクト ID。
たとえば、backend_kwargs の値は {"project_id": "<project id>", "connections_prefix":"example-connections", "variables_prefix":"example-variables", "sep":"-"} に設定できます。

**注:** Airflow 接続の Keyfile Secret Name (in GCP Secret Manager) オプションは、Secret Manager と Managed Airflow が同じ Google Cloud プロジェクトにある場合のみサポートされます。

セクション	キー	値
`secrets`	`backend`	`airflow.providers.google.cloud.secrets.secret_manager.CloudSecretManagerBackend`

セクション	キー	値
`secrets`	`backend_kwargs`	以下の説明をご覧ください。

Secret Manager で接続と変数を追加する

シークレットとバージョンの作成で説明されている手順に沿って、シークレットを作成します。

変数

[variables_prefix][sep][variable_name] 形式を使用する必要があります。
[variables_prefix] のデフォルト値は airflow-variables です。
デフォルトの区切り文字 [sep] は - です。

たとえば、変数名が example-var の場合、シークレット名は airflow-variables-example-var です。

接続名

[connection_prefix][sep][connection_name] 形式を使用する必要があります。
[connection_prefix] のデフォルト値は airflow-connections です。
デフォルトの区切り文字 [sep] は - です。

たとえば、接続名が exampleConnection の場合、シークレット名は airflow-connections-exampleConnection です。

接続値

URI 表現を使用する必要があります。例: postgresql://login:secret@examplehost:9000
URI は URL エンコードされている必要があります（パーセントでエンコード）。たとえば、スペース記号を含むパスワードは、次のように URL エンコードする必要があります: postgresql://login:secret%20password@examplehost:9000。

Airflow には、接続 URI を生成するための便利なメソッドがあります。JSON エクストラで複雑な URL をエンコードする例については、 Airflow ドキュメントをご覧ください。

Managed Airflow で Secret Manager を使用する

変数と接続を取得するとき、Managed Airflow は最初に Secret Manager をチェックします。リクエストされた変数または接続が見つからない場合、Managed Airflow は次に環境変数と Airflow データベースを確認します。

Jinja テンプレートを使用して変数を読み取る

Secret Manager では、テンプレート化された演算子フィールド（実行時に解決されます）について、JINJA テンプレートを使用して変数を読み取ることができます。

airflow-variables-secret_filename シークレットの場合:

file_name = '{{var.value.secret_filename}}'

カスタム演算子とコールバックを使用して変数の読み取る

Secret Manager を使用して、カスタムオペレータの変数やオペレータからのコールバックメソッドを読み取ることもできます。DAG 内から変数を読み取るとパフォーマンスが低下する可能性があるため、DAG で変数を使用する場合は Jinja テンプレートを使用します。

たとえば、airflow-variables-secret_filename シークレットの場合:

from airflow.models.variable import Variable
file_name = Variable.get('secret_filename')

読み取り接続

カスタム演算子を作成する場合を除き、接続に直接アクセスする必要はほとんどありません。ほとんどのフックは、インスタンス化パラメータとして接続名を取得し、タスクの実行時にシークレットバックエンドから接続を自動的に取得する必要があります。

独自のフックを作成する場合には、接続を直接読み取ることが有用な可能性があります。

たとえば、airflow-connections-exampleConnection 接続の場合:

from airflow.hooks.base_hook import BaseHook
exampleConnection = BaseHook.get_connection('exampleConnection')

BaseHook.get_connection は Connection オブジェクトを返します。接続の URI 文字列表現は、次のように取得できます。

exampleConnectionUri = BaseHook.get_connection('exampleConnection').get_uri()

環境に Secret Manager を構成する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

始める前に

環境に Secret Manager を構成する

Secret Manager API を有効にする

コンソール

gcloud

アクセス制御の構成

DAG のシリアル化を有効にする

Secret Manager バックエンドを有効にして構成する

Secret Manager で接続と変数を追加する

変数

接続名

接続値

Managed Airflow で Secret Manager を使用する

Jinja テンプレートを使用して変数を読み取る

カスタム演算子とコールバックを使用して変数の読み取る

読み取り接続

次のステップ

環境に Secret Manager を構成する