Acessar ambientes com a federação de identidade do Workforce

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

Nesta página, descrevemos como configurar o acesso de usuários ao ambiente do Cloud Composer com a federação de identidade de colaboradores.

Sobre a federação de identidade de colaboradores no Cloud Composer

A federação de identidade de colaboradores permite usar um provedor de identidade externo (IdP) para autenticar e autorizar uma força de trabalho, um grupo de usuários, como funcionários, parceiros e prestadores de serviços, usando o IAM. Assim, os usuários podem acessar os serviços do Google Cloud . Para mais informações sobre a federação de identidade de colaboradores, consulte Federação de identidade de colaboradores.

Se a federação de identidade da força de trabalho estiver configurada no seu projeto, você poderá acessar o ambiente das seguintes maneiras:

  • Página do Cloud Composer no Google Cloud console
  • IU do Airflow
  • Google Cloud CLI, incluindo a execução de comandos da CLI do Airflow
  • API Cloud Composer
  • API REST do Airflow

Antes de começar

  • Não é necessário configurar seu ambiente de nenhuma maneira específica para oferecer suporte à federação de identidade de colaboradores. Todas as builds do Airflow no Cloud Composer 3 são compatíveis com a federação de identidade de colaboradores.

  • As limitações do Cloud Storage para a federação de identidade da força de trabalho se aplicam ao bucket do ambiente. Em particular, é necessário ativar o acesso uniforme no nível do bucket no bucket do ambiente para permitir que identidades externas façam upload dos DAGs e arquivos para esse bucket.

  • Os e-mails enviados pelo Airflow incluem apenas o URL da interface do Airflow para Contas do Google. Como as identidades externas só podem acessar a interface do Airflow pelo URL dela para identidades externas, o link precisa ser ajustado (alterado para o URL de identidades externas).

  • O Cloud Composer não é compatível com o uso de identidades de terceiros em regras de entrada e saída para permitir operações da interface do Apache Airflow. No entanto, é possível usar o tipo de identidade ANY_IDENTITY em regras de entrada e saída para permitir o acesso a todas as identidades, incluindo as de terceiros. Para mais informações sobre o tipo de identidade ANY_IDENTITY, consulte Regras de entrada e saída.

Configurar o acesso ao seu ambiente com a federação de identidade da força de trabalho

Nesta seção, descrevemos as etapas para configurar o acesso de identidades externas ao ambiente do Cloud Composer.

Configurar seu provedor de identidade

Configure a federação de identidade de colaboradores para seu provedor de identidade seguindo o guia Configurar a federação de identidade de colaboradores.

Conceder papéis do IAM a identidades externas

No Identity and Access Management, conceda papéis do IAM a conjuntos de identidades externas para que elas possam acessar e interagir com seu ambiente:

Verifique se os novos usuários recebem as funções corretas do Airflow no controle de acesso da interface do Airflow.

O Cloud Composer processa usuários do Airflow para identidades externas da mesma forma que para usuários de contas do Google. Em vez de um endereço de e-mail, um identificador principal é usado. Quando uma identidade externa acessa a interface do Airflow pela primeira vez, um usuário do Airflow é registrado automaticamente no sistema de controle de acesso baseado em papéis do Airflow com a função padrão.

Verifique se os novos usuários recebem as funções corretas do Airflow em Controle de acesso à interface do Airflow. Você tem duas opções:

  • Permita que identidades externas recebam a função padrão depois de acessar UI do Airflow pela primeira vez. Se necessário, os usuários administradores do Airflow podem mudar essa função para outra.
  • Faça o pré-registro de identidades externas com um conjunto de papéis obrigatórios adicionando registros de usuários do Airflow com os campos de nome de usuário e e-mail definidos como os identificadores principais. Assim, as identidades externas recebem o papel que você atribuiu a elas, e não o papel padrão.

Acesse a página do Cloud Composer no console Google Cloud

O console da federação de identidade de colaboradores fornece acesso à página do Cloud Composer.Google Cloud

Na página Composer no console da Google Cloud Federação de identidade da força de trabalho, é possível acessar a UI para gerenciar ambientes, registros do Cloud Composer, monitoramento e a interface do DAG.

Todos os links para a interface do Airflow no console federado apontam para o ponto de acesso da interface do Airflow para identidades externas.

Acessar a interface do Airflow

Os ambientes do Cloud Composer têm dois URLs para a interface do Airflow: um para contas do Google e outro para identidades externas. As identidades externas precisam acessar a interface do Airflow pelo URL para identidades externas.

  • O URL para identidades externas é https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.

  • O URL das Contas do Google é https://<UNIQUE_ID>.composer.googleusercontent.com.

Somente usuários autenticados com identidades externas podem acessar o URL para identidades externas. Se um usuário acessar o URL de identidades externas sem fazer login, ele será redirecionado primeiro para o portal de autenticação onde especifica o nome do provedor do pool de força de trabalho. Em seguida, ele será redirecionado para o provedor de identidade para fazer login e, por fim, será redirecionado para a interface do Airflow do ambiente.

Acessar a interface do DAG no console Google Cloud

A interface da DAG está disponível para usuários de identidade externa como parte do console federado. É possível controlar o acesso com políticas do IAM.

O acesso baseado em papéis do Airflow nos ambientes com suporte completo à federação de identidade de colaboradores também é considerado e pode ser usado para limitar quais DAGs são visíveis para usuários individuais configurando papéis, conforme descrito em Usar o controle de acesso da interface do Airflow.

Acessar a Google Cloud CLI

Para acessar o ambiente pela Google Cloud CLI, as identidades externas precisam fazer o seguinte:

  1. Faça login com a Google Cloud CLI usando uma identidade externa.
  2. Executar comandos gcloud composer environments.

Acessar a API Cloud Composer

A API Cloud Composer pode ser usada com identidades externas para gerenciar todos os ambientes do Cloud Composer com os métodos de autenticação compatíveis, como tokens OAuth.

Acessar a API REST do Airflow

A API REST do Airflow está disponível no endpoint para identidades externas com os métodos de autenticação aceitos, como tokens OAuth.

Para receber o URL do endpoint de identidades externas do seu ambiente, execute o seguinte comando da Google Cloud CLI:

gcloud composer environments describe ENVIRONMENT_NAME \
  --location LOCATION \
  --format="value(config.airflowByoidUri)"

Substitua:

  • ENVIRONMENT_NAME pelo nome do ambiente
  • LOCATION pela região em que o ambiente está localizado;

Exemplo:

gcloud composer environments describe example-environment \
  --location us-central1 \
  --format="value(config.airflowByoidUri)"

A seguir