Managed Airflow (Gen 3) | Managed Airflow (Gen 2) | Managed Airflow (Legacy Gen 1)
Questa pagina descrive come configurare l'accesso degli utenti all'ambiente Managed Airflow con la federazione delle identità per la forza lavoro.
Informazioni sulla federazione delle identità per la forza lavoro in Managed Airflow
La federazione delle identità per la forza lavoro ti consente di utilizzare un provider di identità (IdP) esterno per autenticare e autorizzare una forza lavoro (un gruppo di utenti, come dipendenti, partner e collaboratori) utilizzando IAM, in modo che gli utenti possano accedere ai Google Cloud servizi. Per ulteriori informazioni sulla federazione delle identità per la forza lavoro, consulta Federazione delle identità per la forza lavoro.
Se la federazione delle identità per la forza lavoro è configurata nel tuo progetto, puoi accedere al tuo ambiente nei seguenti modi:
- Pagina Managed Airflow nella Google Cloud console
- UI di Airflow
- Google Cloud CLI, inclusa l'esecuzione dei comandi Airflow CLI
- API Composer
- API REST Airflow
Prima di iniziare
Non è necessario configurare l'ambiente in modo specifico per supportare la federazione delle identità per la forza lavoro. Tutte le build di Airflow in Managed Airflow (Gen 3) supportano la federazione delle identità per la forza lavoro.
Le limitazioni di Cloud Storage per la federazione delle identità per la forza lavoro si applicano al bucket dell'ambiente. In particolare, devi abilitare l'accesso uniforme a livello di bucket nel bucket dell'ambiente per consentire alle identità esterne di caricare i DAG e i file in questo bucket.
Le email inviate da Airflow includono solo l' URL dell'UI di Airflow per gli Account Google. Poiché le identità esterne possono accedere all'UI di Airflow solo tramite l'URL dell'UI di Airflow per le identità esterne, il link deve essere modificato (modificato con l'URL per le identità esterne).
Managed Airflow non supporta l'utilizzo di identità di terze parti nelle regole in entrata e in uscita per consentire le operazioni dell'UI di Apache Airflow. Tuttavia, puoi utilizzare il tipo di identità
ANY_IDENTITYnelle regole in entrata e in uscita per consentire l'accesso a tutte le identità, incluse quelle di terze parti. Per ulteriori informazioni sul tipo di identitàANY_IDENTITY, consulta Regole in entrata e in uscita.
Configurare l'accesso all'ambiente con la federazione delle identità per la forza lavoro
Questa sezione descrive i passaggi per configurare l'accesso delle identità esterne al tuo ambiente Managed Airflow.
Configura il tuo provider di identità
Configura la federazione delle identità per la forza lavoro per il tuo provider di identità seguendo la guida Configurare la federazione delle identità per la forza lavoro.
Concedi ruoli IAM alle identità esterne
In Identity and Access Management, concedi ruoli IAM a insiemi di identità esterne, in modo che possano accedere al tuo ambiente e interagire con esso:
Per un elenco dei ruoli specifici di Managed Airflow, consulta Concedere ruoli agli utenti. Ad esempio, il ruolo Visualizzatore utenti ambiente e oggetti Storage (
composer.environmentAndStorageObjectViewer) consente a un utente di visualizzare gli ambienti, accedere all'UI di Airflow, visualizzare e attivare i DAG da l'UI DAG e visualizzare gli oggetti nei bucket dell'ambiente.Per istruzioni sull'assegnazione di questi ruoli agli utenti esterni, consulta Concedere ruoli IAM alle entità.
Per un formato di rappresentazione delle identità esterne nelle policy IAM, consulta Rappresentare gli utenti del pool di forza lavoro nelle policy IAM.
Verifica che i nuovi utenti ricevano i ruoli Airflow corretti nel controllo dell'accesso all'UI di Airflow
Managed Airflow gestisce gli utenti di Airflow per le identità esterne allo stesso modo degli utenti degli Account Google. Al posto di un indirizzo email, viene utilizzato un identificatore principale. Quando un'identità esterna accede all'UI di Airflow per la prima volta, un utente di Airflow viene registrato automaticamente nel sistema di controllo dell'accesso basato sui ruoli di Airflow con il ruolo predefinito.
Verifica che i nuovi utenti ricevano i ruoli Airflow corretti nel controllo dell'accesso all'UI di Airflow. Puoi scegliere tra due opzioni:
- Consenti alle identità esterne di ricevere il ruolo predefinito dopo aver eseguito l'accesso all'UI di Airflow per la prima volta. Se necessario, gli utenti amministratori di Airflow possono modificare questo ruolo in un altro.
Preregistra le identità esterne con un insieme di ruoli obbligatori aggiungendo record utente di Airflow con i campi nome utente ed email impostati sui relativi identificatori principali. In questo modo, le identità esterne ottengono il ruolo che hai assegnato loro, non il ruolo predefinito.
Accedi alla pagina Managed Airflow nella Google Cloud console
Google Cloud La console della federazione delle identità per la forza lavoro fornisce l'accesso alla pagina Managed Airflow.
Dalla pagina Composer nella console della federazione delle identità per la forza lavoro, puoi accedere all'UI per la gestione degli ambienti, ai log di Managed Airflow, al monitoraggio e all'UI DAG. Google Cloud
Tutti i link all'UI di Airflow nella console federata rimandano al punto di accesso all'UI di Airflow per le identità esterne.
Accedi all'UI di Airflow
Gli ambienti Managed Airflow hanno due URL per l'UI di Airflow: uno per gli Account Google e un altro per le identità esterne. Le identità esterne devono accedere all'UI di Airflow tramite l'URL per le identità esterne.
L'URL per le identità esterne è
https://<UNIQUE_ID>.composer.byoid.googleusercontent.com.L'URL per gli Account Google è
https://<UNIQUE_ID>.composer.googleusercontent.com.
Solo gli utenti autenticati con identità esterne possono accedere all'URL per le identità esterne. Se un utente visita l'URL per le identità esterne senza aver eseguito l'accesso, viene prima reindirizzato al portale di autenticazione in cui specifica il nome del provider del pool di forza lavoro, poi viene reindirizzato al provider di identità per accedere e infine viene reindirizzato all'UI di Airflow dell'ambiente.
Accedi all'UI DAG nella Google Cloud console
L'UI DAG è disponibile per gli utenti con identità esterne come parte della console federata. Puoi controllare l'accesso con le policy IAM.
Viene preso in considerazione anche l'accesso basato sui ruoli di Airflow negli ambienti con supporto completo della federazione delle identità per la forza lavoro, che può essere utilizzato per limitare i DAG visibili per i singoli utenti configurando i ruoli, come descritto in Utilizzare il controllo dell'accesso all'UI di Airflow.
Accedi a Google Cloud CLI
Per accedere al tuo ambiente tramite Google Cloud CLI, le identità esterne devono:
- Accedere con Google Cloud CLI utilizzando un'identità esterna.
- Eseguire
gcloud composer environmentscomandi.
Accedi all'API Composer
L'API Cloud Composer può essere utilizzata con identità esterne per gestire tutti gli ambienti Managed Airflow con i metodi di autenticazione supportati, come i token OAuth.
Accedi all'API REST Airflow
L'API REST Airflow è disponibile all' endpoint per le identità esterne con i metodi di autenticazione supportati , come i token OAuth.
Per ottenere l'URL dell'endpoint per le identità esterne per il tuo ambiente, esegui il seguente comando Google Cloud CLI:
gcloud composer environments describe ENVIRONMENT_NAME \
--location LOCATION \
--format="value(config.airflowByoidUri)"
Sostituisci:
ENVIRONMENT_NAMEcon il nome dell'ambiente.LOCATIONcon la regione in cui si trova l'ambiente.
Esempio:
gcloud composer environments describe example-environment \
--location us-central1 \
--format="value(config.airflowByoidUri)"
Passaggi successivi
- Controllo dell'accesso con IAM
- Utilizzare il controllo dell'accesso all'UI di Airflow
- Accedere ad Airflow CLI
- Accedere all'API REST Airflow