Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Auf dieser Seite wird ein möglicher Ansatz zur Organisation der Sicherheit für ein Team beschrieben. das mit einer Cloud Composer-Umgebung funktioniert.
Cloud Composer bietet mehrere Sicherheitsfunktionen, die Sie bei der Arbeit mit Airflow in einer Cloud Composer-Umgebung Zusätzlich zu Zugriffssteuerung mit Identity and Access Management und Airflow-UI-Zugriffssteuerung können Sie einen Workflow für die unbeabsichtigte Änderungen an beiden Umgebungen verhindert, Konfiguration und DAG-Code:
Erstellen Sie Ihre Umgebung mit Terraform. So können Sie die Umgebungskonfiguration als Code in einem Repository speichern.
IAM-Rollen zuweisen, sodass nur können Administratoren auf den Bucket und den Cluster der Umgebung zugreifen, und der direkte Zugriff ist für normale Nutzer deaktiviert. Beispiel: Die Rolle Composer-Nutzer ermöglicht nur den Zugriff auf die DAG-UI und die Airflow-UI.
Bereitstellen Sie DAGs in Ihrer Umgebung mit einer CI/CD-Pipeline, damit DAG-Code aus einem Repository abgerufen wird. So sind DAGs überprüft und genehmigt wurden, bevor die Änderungen in der Versionsverwaltung zusammengeführt werden. System. Während des Überprüfungsprozesses achten die Genehmiger darauf, dass DAGs die Sicherheitskriterien erfüllen, die in ihren Teams festgelegt wurden. Der Schritt „Überprüfung“ ist ist wichtig, um die Bereitstellung von DAGs zu verhindern, die den Inhalt des im Bucket der Umgebung.
Nächste Schritte
- Präsentation zur DAG-Sicherheit beim Airflow Summit
- Sicherheit
- Zugriffssteuerung mit IAM
- Airflow-UI-Zugriffssteuerung