Cloud Composer 1 Cloud Composer 2
Auf dieser Seite wird ein möglicher Ansatz zur Organisation der Sicherheit für ein Team beschrieben, das mit einer Cloud Composer-Umgebung arbeitet.
Cloud Composer bietet mehrere Sicherheitsfeatures, die Sie bei der Arbeit mit Airflow in einer Cloud Composer-Umgebung verwenden können. Zusätzlich zur Zugriffssteuerung mit Identity and Access Management und der Airflow-UI-Zugriffssteuerung können Sie einen Workflow für Ihr Team einrichten, der eine versehentliche Änderung der Umgebungskonfiguration und des DAG-Codes verhindert:
Erstellen Sie Ihre Umgebung mit Terraform. Auf diese Weise können Sie die Konfiguration der Umgebung als Code in einem Repository speichern.
Weisen Sie IAM-Rollen zu, sodass nur Administratoren auf den Bucket und den Cluster der Umgebung zugreifen können. Der direkte Zugriff ist für normale Nutzer deaktiviert. Die Rolle Composer-Nutzer ermöglicht beispielsweise nur den Zugriff auf die DAG- und die Airflow-UI.
Stellen Sie DAGs in Ihrer Umgebung mit einer CI/CD-Pipeline bereit, damit DAG-Code aus einem Repository abgerufen wird. Auf diese Weise werden DAGs überprüft und genehmigt, bevor die Änderungen im Versionsverwaltungssystem zusammengeführt werden. Während der Prüfung sorgen Genehmiger dafür, dass DAGs den in ihren Teams festgelegten Sicherheitskriterien entsprechen. Der Überprüfungsschritt ist von entscheidender Bedeutung, um zu verhindern, dass die Bereitstellung von DAGs den Inhalt des Buckets der Umgebung ändert.
Nächste Schritte
- Airflow Summit-Präsentation zur DAG-Sicherheit
- Sicherheit
- Zugriffssteuerung mit IAM
- Airflow-UI-Zugriffssteuerung