Cloud Composer 1 |Cloud Composer 2 |Cloud Composer 3
这一页介绍了如何访问位于 Google Cloud 项目与 Cloud Composer 环境的 API 级别相匹配。
我们建议您访问 方式:
在 DAG 中,使用 环境
例如,许多应用会使用
google_cloud_default
连接, Google Cloud 运维套件, 创建环境向环境的服务账号授予额外的 IAM 权限和角色,以便其能够访问其他项目中的资源。
确定环境的服务账号
要确定您的环境的服务账号,请执行以下操作:
控制台
在 Google Cloud 控制台中,前往环境页面。
在环境列表中,点击您的环境名称。环境详情页面会打开。
转到环境配置标签页。
您的环境的服务账号列在 服务账号字段中的值。
此值为电子邮件地址,例如
service-account-name@example-project.iam.gserviceaccount.com
。
gcloud
gcloud composer environments describe ENVIRONMENT_NAME \
--location LOCATION \
--format="get(config.nodeConfig.serviceAccount)"
该值是一个电子邮件地址,如
service-account-name@example-project.iam.gserviceaccount.com
。
授予 IAM 角色和权限以访问其他项目中的资源
您的环境的服务账号需要以下权限 另一个项目中的资源。这些角色和权限可以不同 确定您要访问的资源
访问特定资源
我们建议您为特定资源(例如位于其他项目中的单个 Cloud Storage 存储桶)授予角色和权限。在本课中, 方法,您可以将基于资源的访问权限与条件角色绑定结合使用。
如需访问特定资源,请执行以下操作:
- 按照 配置基于资源的访问权限指南。
- 授予角色和权限时,请指定 环境的服务账号 主账号。
访问资源类型
作为替代方案,您可以根据资源授予角色和权限 例如位于不同位置的所有 Cloud Storage 存储分区, 项目。
如需访问资源类型,请执行以下操作:
- 按照 管理对其他资源的访问权限指南。
- 授予角色和权限时,请指定 环境的服务账号 主账号。
授予所需的权限和角色后,您可以在以下位置访问资源: 具有相同默认 Airflow 连接的其他项目 您用来访问环境所在的项目中的资源 。