Pada 15 September 2026, semua versi Cloud Composer 1 dan versi 2.0.x Cloud Composer 2 akan mencapai akhir masa pakainya yang direncanakan. Anda tidak akan dapat menggunakan lingkungan dengan versi ini. Sebaiknya rencanakan migrasi ke Cloud Composer 3. Cloud Composer 2 versi 2.1.x dan yang lebih baru masih didukung dan tidak terpengaruh oleh perubahan ini.

Halaman ini diterjemahkan oleh Cloud Translation API.

Mengakses lingkungan dengan Workforce Identity Federation

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

Halaman ini menjelaskan cara mengonfigurasi akses pengguna ke lingkungan Cloud Composer Anda dengan Workforce Identity Federation.

Tentang Workforce Identity Federation di Cloud Composer

Workforce Identity Federation memungkinkan Anda menggunakan penyedia identitas (IdP) eksternal untuk mengautentikasi dan memberi otorisasi kepada tenaga kerja—sekelompok pengguna, seperti karyawan, partner, dan kontraktor—menggunakan IAM, sehingga pengguna dapat mengakses layanan Google Cloud . Untuk mengetahui informasi selengkapnya tentang Workforce Identity Federation, lihat Workforce Identity Federation.

Jika Workforce Identity Federation dikonfigurasi di project Anda, Anda dapat mengakses lingkungan dengan cara berikut:

Halaman Cloud Composer di Google Cloud konsol
UI Airflow
Google Cloud CLI, termasuk menjalankan perintah Airflow CLI
Cloud Composer API
Airflow REST API

Sebelum memulai

Anda tidak perlu mengonfigurasi lingkungan dengan cara tertentu untuk mendukung Workforce Identity Federation. Semua build Airflow di Cloud Composer 3 mendukung Workforce Identity Federation.

Penting: Dukungan Workforce Identity Federation di Cloud Composer tidak otomatis menyediakan jalur akses baru untuk identitas eksternal ke lingkungan Anda. Selama Anda tidak mengonfigurasi akses melalui penyedia identitas eksternal dan memberikan izin akses ke identitas eksternal, identitas eksternal tidak dapat mengakses lingkungan Anda.
Batasan Cloud Storage untuk Workforce Identity Federation berlaku untuk bucket lingkungan. Secara khusus, Anda harus mengaktifkan akses level bucket yang seragam di bucket lingkungan untuk mengizinkan identitas eksternal mengupload DAG dan file mereka ke bucket ini.
Email yang dikirim dari Airflow hanya menyertakan URL UI Airflow untuk akun Google. Karena identitas eksternal hanya dapat mengakses UI Airflow melalui URL UI Airflow untuk identitas eksternal, link harus disesuaikan (diubah menjadi URL untuk identitas eksternal).
Cloud Composer tidak mendukung penggunaan identitas pihak ketiga dalam aturan ingress dan egress untuk mengizinkan operasi UI Apache Airflow. Namun, Anda dapat menggunakan jenis identitas ANY_IDENTITY dalam aturan ingress dan egress untuk mengizinkan akses ke semua identitas, termasuk identitas pihak ketiga. Untuk mengetahui informasi selengkapnya tentang jenis identitas ANY_IDENTITY, lihat Aturan traffic masuk dan keluar.

Menyiapkan akses ke lingkungan Anda dengan Workforce Identity Federation

Bagian ini menjelaskan langkah-langkah untuk mengonfigurasi akses bagi identitas eksternal ke lingkungan Cloud Composer Anda.

Konfigurasikan penyedia identitas Anda

Konfigurasi Workforce Identity Federation untuk penyedia identitas Anda dengan mengikuti panduan Mengonfigurasi Workforce Identity Federation.

Memberikan peran IAM ke identitas eksternal

Di Identity and Access Management, berikan peran IAM ke sekumpulan identitas eksternal, sehingga mereka dapat mengakses dan berinteraksi dengan lingkungan Anda:

Untuk daftar peran khusus Cloud Composer, lihat Memberikan peran kepada pengguna. Misalnya, peran Environment User and Storage Object Viewer (composer.environmentAndStorageObjectViewer) memungkinkan pengguna melihat lingkungan, mengakses UI Airflow, melihat dan memicu DAG dari UI DAG, serta melihat objek di bucket lingkungan.
Untuk mengetahui petunjuk tentang cara menetapkan peran ini kepada pengguna eksternal, lihat Memberikan peran IAM kepada akun utama.
Untuk mengetahui format merepresentasikan identitas eksternal dalam kebijakan IAM, lihat Merepresentasikan pengguna workforce pool dalam kebijakan IAM.

Memeriksa apakah pengguna baru menerima peran Airflow yang benar di Kontrol Akses UI Airflow

Cloud Composer menangani pengguna Airflow untuk identitas eksternal dengan cara yang sama seperti untuk pengguna akun Google. Bukan alamat email, ID utama yang digunakan. Saat identitas eksternal mengakses UI Airflow untuk pertama kalinya, pengguna Airflow akan otomatis terdaftar dalam sistem kontrol akses berbasis peran Airflow dengan peran default.

Pastikan pengguna baru menerima peran Airflow yang benar di Kontrol Akses UI Airflow. Anda memiliki dua opsi:

Izinkan identitas eksternal menerima peran default setelah mengakses UI Airflow untuk pertama kalinya. Jika diperlukan, pengguna admin Airflow kemudian dapat mengubah peran ini ke peran lain.
Mendaftarkan identitas eksternal lebih awal dengan serangkaian peran yang diperlukan dengan menambahkan catatan pengguna Airflow dengan kolom nama pengguna dan email yang ditetapkan ke ID utama mereka. Dengan cara ini, identitas eksternal mendapatkan peran yang Anda tetapkan, bukan peran default.

Penting: Kontrol Akses UI Airflow hanya mendukung format ID untuk identitas tunggal. Grup dan identitas dengan atribut tertentu tidak didukung.

Mengakses halaman Cloud Composer di konsol Google Cloud

Google Cloud Konsol Workforce Identity Federation memberikan akses ke halaman Cloud Composer.

Dari halaman Composer di konsol Workforce Identity Federation, Anda dapat mengakses UI untuk mengelola lingkungan, log Cloud Composer, pemantauan, dan UI DAG. Google Cloud

Semua link ke UI Airflow di konsol gabungan mengarah ke titik akses UI Airflow untuk identitas eksternal.

Mengakses UI Airflow

Lingkungan Cloud Composer memiliki dua URL untuk UI Airflow: satu untuk akun Google dan satu lagi untuk identitas eksternal. Identitas eksternal harus mengakses UI Airflow melalui URL untuk identitas eksternal.

URL untuk identitas eksternal adalah https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.
URL untuk Akun Google adalah https://<UNIQUE_ID>.composer.googleusercontent.com.

Catatan: Akun layanan (Anda dapat mengenalinya dengan ID yang diakhiri dengan .iam.gserviceaccount.com) dianggap sebagai Akun Google. Gunakan alamat .composer.googleusercontent.com jika Anda ingin menggunakan Airflow dengan akun layanan Google. Lihat Mengakses Airflow API menggunakan akun layanan.

Hanya pengguna yang diautentikasi dengan identitas eksternal yang dapat mengakses URL untuk identitas eksternal. Jika pengguna membuka URL untuk identitas eksternal saat tidak login, mereka akan dialihkan terlebih dahulu ke portal autentikasi tempat mereka menentukan nama penyedia kumpulan tenaga kerja, lalu mereka akan dialihkan ke penyedia identitas mereka untuk login, dan terakhir mereka akan dialihkan ke UI Airflow lingkungan.

Mengakses UI DAG di konsol Google Cloud

UI DAG tersedia untuk pengguna identitas eksternal sebagai bagian dari konsol gabungan. Anda dapat mengontrol akses dengan kebijakan IAM.

Akses berbasis peran Airflow di lingkungan dengan dukungan penuh Workforce Identity Federation juga dipertimbangkan dan dapat digunakan untuk membatasi DAG yang terlihat oleh setiap pengguna dengan menyiapkan peran, seperti yang dijelaskan dalam Menggunakan Kontrol Akses UI Airflow.

Mengakses Google Cloud CLI

Untuk mengakses lingkungan Anda melalui Google Cloud CLI, identitas eksternal harus melakukan hal berikut:

Login dengan Google Cloud CLI menggunakan identitas eksternal.
Jalankan perintah gcloud composer environments.

Mengakses Cloud Composer API

Cloud Composer API dapat digunakan dengan identitas eksternal untuk mengelola semua lingkungan Cloud Composer dengan metode autentikasi yang didukung seperti token OAuth.

Mengakses Airflow REST API

Airflow REST API tersedia di endpoint untuk identitas eksternal dengan metode autentikasi yang didukung seperti token OAuth.

Untuk mendapatkan URL endpoint bagi identitas eksternal untuk lingkungan Anda, jalankan perintah Google Cloud CLI berikut:

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Ganti:

ENVIRONMENT_NAME dengan nama lingkungan.
LOCATION dengan region tempat lingkungan berada.

Contoh:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"