Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Questa pagina descrive un possibile approccio per organizzare la sicurezza per un team che lavora con un ambiente Cloud Composer.
Cloud Composer offre diverse funzionalità di sicurezza che puoi usare durante l'utilizzo Airflow in un ambiente Cloud Composer. Oltre al controllo dell'accesso con Identity and Access Management e al controllo dell'accesso all'interfaccia utente di Airflow, puoi configurare un flusso di lavoro per il tuo team che impedisca la modifica accidentale sia della configurazione dell'ambiente sia del codice DAG:
Crea il tuo ambiente con Terraform. In questo modo, puoi archiviare la configurazione dell'ambiente come codice in un repository.
Assegna i ruoli IAM, in modo da poter gli amministratori possono accedere al bucket e al cluster dell'ambiente mentre l'accesso diretto è disattivato per gli utenti normali. Ad esempio: il ruolo Composer User (Utente compositore) consente l'accesso solo alla UI dei DAG e alla UI di Airflow.
Esegui il deployment dei DAG nel tuo ambiente con una pipeline CI/CD, in modo che il codice DAG venga recuperato da un repository. In questo modo, i DAG vengono esaminati e approvati prima che le modifiche vengano unite al sistema di controllo della versione. Durante il processo di revisione, gli approvatori si assicurano che i DAG soddisfino le criteri di sicurezza stabiliti all'interno dei propri team. Il passaggio di revisione è fondamentale per impedire il deployment di DAG che modificano i contenuti del bucket dell'ambiente.
Passaggi successivi
- Presentazione del summit di Airflow sulla sicurezza dei DAG
- Panoramica sulla sicurezza
- Controllo dell'accesso con IAM
- Controllo dell'accesso all'interfaccia utente di Airflow