Em 15 de setembro de 2026, todos os ambientes do Cloud Composer 1 e da versão 2.0.x do Cloud Composer 2 vão atingir o fim da vida útil planejado e não poderão mais ser usados. Recomendamos planejar a migração para o Cloud Composer 3.
Proteger seu ambiente do Cloud Composer é essencial para proteger
dados confidenciais e impedir o acesso não autorizado. Esta página descreve as principais práticas
recomendadas, incluindo recomendações para segurança de rede, Identity and Access Management,
criptografia e gerenciamento de configuração do ambiente.
Para mais informações sobre os recursos de segurança disponíveis no
Cloud Composer, consulte Visão geral de segurança.
Gerenciar a configuração do ambiente e as DAGs usando o controle de versões
Figura 1. Exemplo de um pipeline de CI/CD do Airflow (clique para ampliar)
Crie seu ambiente usando o Terraform.
Dessa forma, você pode armazenar a configuração do ambiente como código em um
repositório. Dessa forma, as mudanças na configuração do ambiente podem ser
analisadas antes de serem aplicadas, e você pode reduzir o número de usuários
que têm permissões para mudar a configuração atribuindo funções com
menos permissões.
No Identity and Access Management, desative o acesso direto a DAGs e à configuração do ambiente para usuários comuns, conforme detalhado na seção Identity and Access Management.
Implante DAGs no seu ambiente com um pipeline de CI/CD,
para que o código DAG seja recuperado de um repositório. Dessa forma, os DAGs são
analisados e aprovados antes que as mudanças sejam mescladas ao sistema de controle de
versões. Durante o processo de análise, os aprovadores verificam se os DAGs atendem aos
critérios de segurança estabelecidos nas equipes. A etapa de revisão é
essencial para evitar o provisionamento de DAGs que possam realizar ações indesejadas.
Alguns aspectos de segurança importantes a serem considerados ao analisar DAGs
são:
Os DAGs que modificam o conteúdo do bucket do ambiente não podem modificar
o código de outros DAGs ou acessar dados sensíveis, a menos que seja intencional.
Os DAGs não podem fazer consultas diretas no banco de dados do Airflow, a menos que
seja intencional. Um DAG em um ambiente do Cloud Composer tem acesso a todas as tabelas no banco de dados do Airflow. É possível extrair
informações de qualquer tabela, processá-las e armazená-las fora do
banco de dados do Airflow.
Segurança de rede
Use ambientes de IP particular para que os componentes do Airflow que executam o cluster do seu ambiente não recebam endereços IP públicos e se comuniquem apenas pela rede interna do Google.
Revise as regras gerais de firewall no seu projeto e na rede VPC
em que seu ambiente está localizado. Dependendo da forma como você os configura,
os componentes do Airflow do seu ambiente, como workers que executam
os DAGs, podem acessar a Internet.
Identity and Access Management
Isole as permissões.
Crie contas de serviço de ambiente
e use diferentes contas de serviço para diferentes ambientes. Atribua a essas contas de serviço apenas as permissões estritamente necessárias para operar esses ambientes e realizar operações definidas nos DAGs do Airflow que elas executam.
Evite usar contas de serviço com permissões amplas. Embora
seja possível criar um ambiente que use uma conta com permissões
amplas, como as concedidas pela papel básico de editor, isso
cria o risco de DAGs usarem permissões mais amplas do que o pretendido.
Não confie em contas de serviço padrão dos serviços do Google usados pelo
Cloud Composer. Muitas vezes, é impossível reduzir as permissões
disponíveis para essas contas de serviço sem afetar outros serviços
do Google no seu projeto.
Siga o princípio de privilégio mínimo. Conceda apenas as permissões mínimas
necessárias aos usuários. Por exemplo,
atribua funções do IAM para que apenas
os administradores possam acessar o bucket e o cluster do ambiente,
e o acesso direto seja desativado para usuários comuns. Por exemplo, a função Usuário do Composer permite o acesso apenas à IU do DAG e do Airflow.
Aplique o controle de acesso da interface do Airflow, que permite reduzir a
visibilidade na interface do Airflow e na interface do DAG com base no papel do usuário no Airflow e pode ser
usado para atribuir permissões no nível do DAG para DAGs individuais.
Revise regularmente. Audite regularmente as permissões e os papéis do IAM
para identificar e remover privilégios excessivos ou não utilizados.
Cuidado ao transmitir e armazenar dados sensíveis:
Tenha cuidado ao transmitir dados sensíveis, como informações
de identificação pessoal ou senhas. Quando necessário,
use o Secret Manager para
armazenar com segurança conexões, secrets, chaves de API, senhas e certificados do Airflow. Não armazene essas informações em DAGs
ou variáveis de ambiente.
Conceder permissões do IAM ao bucket do ambiente apenas
para usuários confiáveis. Use permissões por objeto, se possível.
As considerações de segurança para as contas de serviço do ambiente
listam várias maneiras de os usuários com acesso ao bucket do ambiente
realizarem ações em nome da conta de serviço do ambiente.
Conheça
quais dados são armazenados nos snapshots e forneça
permissões para criar snapshots do ambiente e acessar o bucket em que
eles são armazenados apenas para usuários confiáveis.
Todas as interfaces externas do Cloud Composer usam criptografia por
padrão. Ao se conectar a produtos e serviços externos, use
comunicações criptografadas (SSL/TLS).
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-26 UTC."],[[["\u003cp\u003eSecuring a Cloud Composer environment involves implementing best practices for network security, Identity and Access Management (IAM), encryption, and environment configuration management.\u003c/p\u003e\n"],["\u003cp\u003eManaging environment configurations and DAGs using version control and CI/CD pipelines is crucial for ensuring code review and preventing unauthorized changes to the environment.\u003c/p\u003e\n"],["\u003cp\u003eUtilizing Private IP environments, implementing strict firewall rules, and configuring connectivity to Google APIs through the \u003ccode\u003eprivate.googleapis.com\u003c/code\u003e domain are vital for network security.\u003c/p\u003e\n"],["\u003cp\u003eIsolating permissions through dedicated service accounts and adhering to the principle of least privilege are key aspects of effective Identity and Access Management.\u003c/p\u003e\n"],["\u003cp\u003eSensitive data should be managed securely using Secret Manager, avoiding storage in DAGs or environment variables, and limiting access to environment buckets and snapshots to trusted users.\u003c/p\u003e\n"]]],[],null,["\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n\n[Cloud Composer 3](/composer/docs/composer-3/security-practices \"View this page for Cloud Composer 3\") \\| [Cloud Composer 2](/composer/docs/composer-3/security-practices \"View this page for Cloud Composer 2\") \\| **Cloud Composer 1**\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nSecuring your Cloud Composer environment is crucial for protecting\nsensitive data and preventing unauthorized access. This page outlines key best\npractices, including recommendations for network security, Identity and Access Management,\nencryption, and environment configuration management.\n\nTo get more information about security features available in\nCloud Composer, see [Security overview](/composer/docs/composer-1/composer-security-overview).\n\nManage environment configuration and DAGs using version control [](/static/composer/docs/images/composer-airflow-secure-cicd.svg) **Figure 1.** An example of an Airflow CI/CD pipeline (click to enlarge)\n\n- [Create your environment using Terraform](/composer/docs/composer-1/terraform-create-environments).\n In this way, you can store environment's configuration as code in a\n repository. In this way, changes to your environment configuration can be\n reviewed before they are applied, and you can reduce the number of users\n who have permissions to change the configuration by assigning roles with\n less permissions.\n\n- In Identity and Access Management, disable direct access to DAGs and environment's\n configuration to regular users, as detailed in the\n [Identity and Access Management](#iam-security) section.\n\n- [Deploy DAGs in your environment with a CI/CD pipeline](/composer/docs/composer-1/dag-cicd-github),\n so that DAG code is retrieved from a repository. In this way, DAGs are\n reviewed and approved before the changes are merged to the version control\n system. During the review process, approvers make sure that DAGs meet the\n security criteria established within their teams. The review step is\n critical to prevent deployment of DAGs that might perform unwanted actions.\n\n Some important security aspects to take into account when reviewing DAGs\n are:\n - DAGs that modify the content of the environment's bucket must not modify\n the code of other DAGs or access sensitive data, unless intended.\n\n - DAGs must not make direct queries to the Airflow database, unless\n intended. A DAG in a Cloud Composer environment has\n access to all tables in the Airflow database. It is possible to retrieve\n information from any table, process it, and then store it outside of the\n Airflow database.\n\nNetwork security\n\n\u003cbr /\u003e\n\n- Use [Private IP environments](/composer/docs/composer-1/configure-private-ip) so that Airflow components in\n that run your environment's cluster are not assigned public IP addresses\n and communicate only over Google's internal network.\n\n- [Implement strict firewall rules](/composer/docs/composer-1/configure-private-ip#private-ip-firewall-rules) to control\n traffic to and from your environment's cluster.\n\n- [Configure connectivity to Google APIs and services](/composer/docs/composer-1/configure-private-ip#connectivity-domains)\n through the `private.googleapis.com` domain so that your environment\n accesses Google APIs and services through IP addresses only routable from\n within Google Cloud.\n\n- Review the general firewall rules in your project and in the VPC network\n where your environment is located. Depending on the way you configure them,\n Airflow components of your environment, such as Airflow workers that run\n your DAGs, might access the internet.\n\nIdentity and Access Management\n\n- Isolate permissions.\n [Create environment service accounts](/composer/docs/composer-1/access-control#service-account)\n and use different service accounts for different environments. Assign to\n these service accounts only permissions that are strictly necessary to\n operate these environments and perform operations defined in Airflow DAGs\n that they run.\n\n- Avoid using service accounts with broad permissions. While it\n is possible to create an environment that uses an account with broad\n permissions, such as those granted by the **Editor** basic role, this\n creates a risk of DAGs using broader permissions than intended.\n\n- Don't rely on default service accounts of Google services used by\n Cloud Composer. It is often impossible to reduce permissions\n available to these service accounts without also affecting other Google\n services in your project.\n\n- Make sure that you are familiar with\n [security considerations for environment's service accounts](/composer/docs/composer-1/access-control#service-account-security)\n and understand how this account interacts with permissions and roles that\n you grant to individual users in your project.\n\n- Adhere to the principle of least privilege. Grant only the minimum necessary\n permissions to users. For example,\n [assign IAM roles](/composer/docs/composer-1/access-control#user-account), so that only\n administrators can access the environment's bucket\n\n and the environment's cluster\n ,\n and direct access is disabled for regular users. For example, the\n **Composer User** role enables access only to DAG UI and Airflow UI.\n\n- Enforce [Airflow UI Access Control](/composer/docs/composer-1/airflow-rbac), which allows to reduce\n visibility in Airflow UI and DAG UI based on user's Airflow role, and can be\n used to assign DAG-level permissions for individual DAGs.\n\n- Review regularly. Regularly audit IAM permissions and roles\n to identify and remove any excessive or unused privileges.\n\n- Beware of passing and storing sensitive data:\n\n - Exercise caution when passing storing sensitive data like personally\n identifiable information or passwords. Where required,\n [use Secret Manager](/composer/docs/composer-1/configure-secret-manager) to\n securely store Airflow connections and Airflow secrets, API keys,\n passwords, and certificates. Don't store this information in your DAGs\n or environment variables.\n\n - Grant IAM permissions to the environment's bucket only\n to trusted users. Use per-object permissions, if possible.\n [Security considerations for environment's service accounts](/composer/docs/composer-1/access-control#service-account-security)\n list several ways in which users with access to the environment's\n bucket can perform actions on behalf of the environment's service\n account.\n\n - Make sure that you are familiar with\n [what data is stored in the snapshots](/composer/docs/composer-1/save-load-snapshots) and provide\n permissions to create environment snapshots and access the bucket where\n they are stored only to trusted users.\n\n - All Cloud Composer's external interfaces use encryption by\n default. When connecting to external products and services, make sure\n that you use encrypted communication (SSL/TLS).\n\nWhat's next\n\n- [Security overview](/composer/docs/composer-1/composer-security-overview)\n- [Access control with IAM](/composer/docs/composer-1/access-control)\n- [Airflow UI Access Control](/composer/docs/composer-1/airflow-rbac)\n- [Airflow summit presentation about DAG security](https://www.youtube.com/watch?v=QhnItssm4yU)"]]
