安全性方面的最佳做法

Cloud Composer 1 |Cloud Composer 2 |Cloud Composer 3

本页面介绍了一种可为团队组织安全措施的可行方法。 可与 Cloud Composer 环境搭配使用

Cloud Composer 提供多种 让您能够使用安全功能 Cloud Composer 环境中的 Airflow。除了 使用 Identity and Access Management 进行访问权限控制和 Airflow 界面访问权限控制，您可以设置工作流 防止两个环境的意外修改 配置和 DAG 代码：

1. 使用 Terraform 创建环境。 这样，您就可以将环境的配置作为代码存储在代码库中。

2. 分配 IAM 角色，以便只有管理员可以访问环境的存储桶和环境的集群，并为普通用户停用直接访问权限。例如： Composer User 角色仅允许访问 DAG 界面和 Airflow 界面。

3. 使用 CI/CD 流水线在环境中部署 DAG，以便从代码库检索 DAG 代码。这样，DAG 会先经过审核和批准，然后再将更改合并到版本控制系统。在审核流程中，审批者需要确保 DAG 符合 安全标准。审核步骤至关重要，可防止部署的 DAG 修改环境存储桶中的内容。

后续步骤

• 关于 DAG 安全性的 Airflow 峰会演示文稿
• 安全概览
• 使用 IAM 进行访问权限控制
• Airflow 界面访问权限控制