Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1
Nesta página, descrevemos como configurar o acesso de usuários ao ambiente do Cloud Composer com a federação de identidade de colaboradores.
Sobre a federação de identidade de colaboradores no Cloud Composer
A federação de identidade de colaboradores permite usar um provedor de identidade externo (IdP) para autenticar e autorizar uma força de trabalho, um grupo de usuários, como funcionários, parceiros e prestadores de serviços, usando o IAM. Assim, os usuários podem acessar os serviços do Google Cloud . Para mais informações sobre a federação de identidade de colaboradores, consulte Federação de identidade de colaboradores.
Se a federação de identidade da força de trabalho estiver configurada no seu projeto, você poderá acessar o ambiente das seguintes maneiras:
- Página do Cloud Composer no Google Cloud console
- IU do Airflow
- Google Cloud CLI, incluindo a execução de comandos da CLI do Airflow
- API Cloud Composer
- API REST do Airflow
Antes de começar
Não é necessário configurar seu ambiente de nenhuma maneira específica para oferecer suporte à federação de identidade de colaboradores. Todas as builds do Airflow no Cloud Composer 3 são compatíveis com a federação de identidade de colaboradores.
As limitações do Cloud Storage para a federação de identidade da força de trabalho se aplicam ao bucket do ambiente. Em particular, é necessário ativar o acesso uniforme no nível do bucket no bucket do ambiente para permitir que identidades externas façam upload dos DAGs e arquivos para esse bucket.
Os e-mails enviados pelo Airflow incluem apenas o URL da interface do Airflow para Contas do Google. Como as identidades externas só podem acessar a interface do Airflow pelo URL dela para identidades externas, o link precisa ser ajustado (alterado para o URL de identidades externas).
O Cloud Composer não é compatível com o uso de identidades de terceiros em regras de entrada e saída para permitir operações da interface do Apache Airflow. No entanto, é possível usar o tipo de identidade
ANY_IDENTITYem regras de entrada e saída para permitir o acesso a todas as identidades, incluindo as de terceiros. Para mais informações sobre o tipo de identidadeANY_IDENTITY, consulte Regras de entrada e saída.
Configurar o acesso ao seu ambiente com a federação de identidade da força de trabalho
Nesta seção, descrevemos as etapas para configurar o acesso de identidades externas ao ambiente do Cloud Composer.
Configurar seu provedor de identidade
Configure a federação de identidade de colaboradores para seu provedor de identidade seguindo o guia Configurar a federação de identidade de colaboradores.
Conceder papéis do IAM a identidades externas
No Identity and Access Management, conceda papéis do IAM a conjuntos de identidades externas para que elas possam acessar e interagir com seu ambiente:
Para conferir uma lista de papéis específicos do Cloud Composer, consulte Conceder papéis aos usuários. Por exemplo, o papel Usuário do ambiente e leitor de objetos do Storage (
composer.environmentAndStorageObjectViewer) permite que um usuário veja ambientes, acesse a interface do Airflow, veja e acione DAGs na interface do DAG e veja objetos em buckets de ambiente.Para instruções sobre como atribuir essas funções a usuários externos, consulte Conceder papéis do IAM a principais.
Para um formato de representação de identidades externas em políticas do IAM, consulte Representar usuários do pool de colaboradores nas políticas do IAM.
Verifique se os novos usuários recebem as funções corretas do Airflow no controle de acesso da interface do Airflow.
O Cloud Composer processa usuários do Airflow para identidades externas da mesma forma que para usuários de contas do Google. Em vez de um endereço de e-mail, um identificador principal é usado. Quando uma identidade externa acessa a interface do Airflow pela primeira vez, um usuário do Airflow é registrado automaticamente no sistema de controle de acesso baseado em papéis do Airflow com a função padrão.
Verifique se os novos usuários recebem as funções corretas do Airflow em Controle de acesso à interface do Airflow. Você tem duas opções:
- Permita que identidades externas recebam a função padrão depois de acessar UI do Airflow pela primeira vez. Se necessário, os usuários administradores do Airflow podem mudar essa função para outra.
Faça o pré-registro de identidades externas com um conjunto de papéis obrigatórios adicionando registros de usuários do Airflow com os campos de nome de usuário e e-mail definidos como os identificadores principais. Assim, as identidades externas recebem o papel que você atribuiu a elas, e não o papel padrão.
Acesse a página do Cloud Composer no console Google Cloud
O console da federação de identidade de colaboradores fornece acesso à página do Cloud Composer.Google Cloud
Na página Composer no console da Google Cloud Federação de identidade da força de trabalho, é possível acessar a UI para gerenciar ambientes, registros do Cloud Composer, monitoramento e a interface do DAG.
Todos os links para a interface do Airflow no console federado apontam para o ponto de acesso da interface do Airflow para identidades externas.
Acessar a interface do Airflow
Os ambientes do Cloud Composer têm dois URLs para a interface do Airflow: um para contas do Google e outro para identidades externas. As identidades externas precisam acessar a interface do Airflow pelo URL para identidades externas.
O URL para identidades externas é
https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.O URL das Contas do Google é
https://<UNIQUE_ID>.composer.googleusercontent.com.
Somente usuários autenticados com identidades externas podem acessar o URL para identidades externas. Se um usuário acessar o URL de identidades externas sem fazer login, ele será redirecionado primeiro para o portal de autenticação onde especifica o nome do provedor do pool de força de trabalho. Em seguida, ele será redirecionado para o provedor de identidade para fazer login e, por fim, será redirecionado para a interface do Airflow do ambiente.
Acessar a interface do DAG no console Google Cloud
A interface da DAG está disponível para usuários de identidade externa como parte do console federado. É possível controlar o acesso com políticas do IAM.
O acesso baseado em papéis do Airflow nos ambientes com suporte completo à federação de identidade de colaboradores também é considerado e pode ser usado para limitar quais DAGs são visíveis para usuários individuais configurando papéis, conforme descrito em Usar o controle de acesso da interface do Airflow.
Acessar a Google Cloud CLI
Para acessar o ambiente pela Google Cloud CLI, as identidades externas precisam fazer o seguinte:
- Faça login com a Google Cloud CLI usando uma identidade externa.
- Executar comandos
gcloud composer environments.
Acessar a API Cloud Composer
A API Cloud Composer pode ser usada com identidades externas para gerenciar todos os ambientes do Cloud Composer com os métodos de autenticação compatíveis, como tokens OAuth.
Acessar a API REST do Airflow
A API REST do Airflow está disponível no endpoint para identidades externas com os métodos de autenticação aceitos, como tokens OAuth.
Para receber o URL do endpoint de identidades externas do seu ambiente, execute o seguinte comando da Google Cloud CLI:
gcloud composer environments describe ENVIRONMENT_NAME \
--location LOCATION \
--format="value(config.airflowByoidUri)"
Substitua:
ENVIRONMENT_NAMEpelo nome do ambienteLOCATIONpela região em que o ambiente está localizado;
Exemplo:
gcloud composer environments describe example-environment \
--location us-central1 \
--format="value(config.airflowByoidUri)"
A seguir
- Controle de acesso com o IAM
- Como usar o controle de acesso da interface do Airflow
- Acessar a CLI do Airflow
- Acessar a API REST do Airflow