Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Cette page décrit une approche possible pour organiser la sécurité pour une équipe compatible avec un environnement Cloud Composer.
Cloud Composer propose plusieurs fonctionnalités de sécurité que vous pouvez utiliser lorsque vous travaillez avec Airflow dans un environnement Cloud Composer. En plus de contrôle des accès avec Identity and Access Management, le contrôle des accès à l'interface utilisateur Airflow, vous pouvez configurer un workflow pour pour empêcher toute modification accidentelle des deux environnements de la configuration et du code du DAG:
Créer votre environnement à l'aide de Terraform De cette façon, vous pouvez stocker la configuration de l'environnement sous forme de code dans un un dépôt de clés.
Attribuez des rôles IAM, de sorte que seuls les administrateurs peuvent accéder au bucket et au cluster de l'environnement, et l'accès direct est désactivé pour les utilisateurs standards. Par exemple : Le rôle Utilisateur Composer ne permet d'accéder qu'à l'UI du DAG et à l'UI d'Airflow.
Déployer des DAG dans votre environnement avec un pipeline CI/CD afin que le code du DAG soit extrait d'un dépôt. De cette façon, les DAG examiné et approuvé avant que les modifications ne soient fusionnées avec le contrôle des versions du système d'exploitation. Au cours du processus d'examen, les approbateurs s'assurent que les DAG respectent les des critères de sécurité établis au sein de leurs équipes. L'étape de révision est essentiel pour empêcher le déploiement des DAG de modifier le contenu bucket de l'environnement.
Étape suivante
- Présentation Airflow Summit sur la sécurité des DAG
- Présentation de la sécurité
- Contrôle des accès avec IAM
- Contrôle des accès à l'interface utilisateur Airflow