Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Cette page décrit une approche possible pour organiser la sécurité d'une équipe qui travaille avec un environnement Cloud Composer.
Cloud Composer propose plusieurs fonctionnalités de sécurité que vous pouvez utiliser lorsque vous travaillez avec Airflow dans un environnement Cloud Composer. En plus du contrôle des accès avec Identity and Access Management et du contrôle des accès à l'interface utilisateur d'Airflow, vous pouvez configurer un workflow pour votre équipe qui empêche toute modification accidentelle de la configuration de l'environnement et du code DAG :
Créez votre environnement à l'aide de Terraform. De cette façon, vous pouvez stocker la configuration de l'environnement sous forme de code dans un un dépôt de clés.
Attribuez des rôles IAM afin que seuls les administrateurs puissent accéder au bucket et au cluster de l'environnement, et que l'accès direct soit désactivé pour les utilisateurs standards. Par exemple : Le rôle Utilisateur Composer ne permet d'accéder qu'à l'UI du DAG et à l'UI d'Airflow.
Déployez des DAG dans votre environnement avec un pipeline CI/CD afin que le code DAG soit récupéré à partir d'un dépôt. De cette façon, les DAG examiné et approuvé avant que les modifications ne soient fusionnées avec le contrôle des versions du système d'exploitation. Au cours du processus d'examen, les approbateurs s'assurent que les DAG répondent aux critères de sécurité établis au sein de leurs équipes. L'étape de révision est essentiel pour empêcher le déploiement des DAG de modifier le contenu bucket de l'environnement.
Étape suivante
- Présentation du sommet Airflow sur la sécurité des DAG
- Présentation de la sécurité
- Contrôle des accès avec IAM
- Contrôle des accès à l'interface utilisateur d'Airflow