Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Auf dieser Seite wird ein möglicher Ansatz zum Organisieren der Sicherheit für ein Team beschrieben, das mit einer Cloud Composer-Umgebung arbeitet.
Cloud Composer bietet mehrere Sicherheitsfunktionen, die Sie beim Arbeiten mit Airflow in einer Cloud Composer-Umgebung verwenden können. Zusätzlich zur Zugriffssteuerung mit Identity and Access Management und der Airflow-UI-Zugriffssteuerung können Sie einen Workflow für Ihr Team einrichten, der eine versehentliche Änderung der Umgebungskonfiguration und des DAG-Codes verhindert:
Erstellen Sie Ihre Umgebung mit Terraform. Auf diese Weise können Sie die Konfiguration der Umgebung als Code in einem Repository speichern.
Weisen Sie IAM-Rollen zu, damit nur Administratoren auf den Bucket und den Cluster der Umgebung zugreifen können. Außerdem ist der direkte Zugriff für normale Nutzer deaktiviert. Mit der Rolle Composer-Nutzer wird beispielsweise nur der Zugriff auf die DAG-UI und die Airflow-UI ermöglicht.
Stellen Sie DAGs in Ihrer Umgebung mit einer CI/CD-Pipeline bereit, damit DAG-Code aus einem Repository abgerufen wird. Auf diese Weise werden DAGs geprüft und genehmigt, bevor die Änderungen im Versionsverwaltungssystem zusammengeführt werden. Während der Überprüfung sorgen die Genehmiger dafür, dass DAGs den in ihren Teams festgelegten Sicherheitskriterien entsprechen. Dieser Schritt ist wichtig, um die Bereitstellung von DAGs zu verhindern, die den Inhalt des Buckets der Umgebung ändern.
Nächste Schritte
- Präsentation vom Airflow Summit zur DAG-Sicherheit
- Sicherheit
- Zugriffssteuerung mit IAM
- Airflow-UI-Zugriffssteuerung