セキュリティに関するベスト プラクティス

Cloud Composer 1 | Cloud Composer 2

このページでは、Cloud Composer 環境で作業するチームのセキュリティを整理する 1 つの方法について説明します。

Airflow CI / CD パイプラインの例
図 1。Airflow CI / CD パイプラインの例(クリックして拡大)

Cloud Composer には、Cloud Composer 環境で Airflow を操作する場合に使用できるいくつかのセキュリティ機能が用意されています。Identity and Access Management を使用したアクセス制御Airflow UI アクセス制御に加えて、環境の構成と DAG コードの両方の予期しない変更を防止するチーム用のワークフローを設定できます。

  1. Terraform を使用して環境を作成します。 このようにして、環境の構成をコードとしてリポジトリに格納できます。

  2. IAM のロールを割り当てます。管理者のみが環境のバケットと環境のクラスタにアクセスし、通常のユーザーに対して直接アクセスができないようにします。たとえば、Composer ユーザーのロールは DAG UI と Airflow UI へのアクセスのみを有効にします。

  3. CI / CD パイプラインを使用して DAG を環境にデプロイし、DAG コードがリポジトリから取得されるようにします。このようにして、変更がバージョン管理システムにマージされる前に、DAG が審査および承認されます。レビュー プロセス中に、承認者は DAG がチーム内で確立されたセキュリティ基準を満たしていることを確認します。レビューの手順は、DAG が環境のバケットの内容を変更するデプロイを行うことを防ぐために重要です。

次のステップ