Best Practices für Sicherheit

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Auf dieser Seite wird ein möglicher Ansatz zur Organisation der Sicherheit für ein Team beschrieben. das mit einer Cloud Composer-Umgebung funktioniert.

Beispiel für eine CI/CD-Pipeline in Airflow
Abbildung 1. Beispiel für eine CI/CD-Pipeline in Airflow (zum Vergrößern klicken)

Cloud Composer bietet mehrere Sicherheitsfunktionen, die Sie bei der Arbeit mit Airflow in einer Cloud Composer-Umgebung Zusätzlich zu Zugriffssteuerung mit Identity and Access Management und Airflow-UI-Zugriffssteuerung können Sie einen Workflow für die unbeabsichtigte Änderungen an beiden Umgebungen verhindert, Konfiguration und DAG-Code:

  1. Erstellen Sie Ihre Umgebung mit Terraform. Auf diese Weise können Sie die Konfiguration der Umgebung als Code in einem zu erstellen.

  2. Weisen Sie IAM-Rollen zu, sodass nur können Administratoren auf den Bucket und den Cluster der Umgebung zugreifen, und der direkte Zugriff ist für normale Nutzer deaktiviert. Beispiel: Die Rolle Composer-Nutzer ermöglicht nur den Zugriff auf die DAG-UI und die Airflow-UI.

  3. DAGs mit einer CI/CD-Pipeline in Ihrer Umgebung bereitstellen damit DAG-Code aus einem Repository abgerufen wird. So sind DAGs überprüft und genehmigt wurden, bevor die Änderungen in der Versionsverwaltung zusammengeführt werden. System. Bei der Überprüfung sorgen die Genehmiger dafür, dass die DAGs den die in ihren Teams festgelegt wurden. Der Schritt „Überprüfung“ ist ist wichtig, um die Bereitstellung von DAGs zu verhindern, die den Inhalt des im Bucket der Umgebung.

Nächste Schritte