Cloud Composer 1 | Cloud Composer 2
Cette page décrit une approche possible pour organiser la sécurité d'une équipe compatible avec un environnement Cloud Composer.
Cloud Composer fournit plusieurs fonctionnalités de sécurité que vous pouvez utiliser lorsque vous utilisez Airflow dans un environnement Cloud Composer. En plus du contrôle des accès avec Identity and Access Management et du contrôle des accès à l'interface utilisateur Airflow, vous pouvez définir un workflow pour votre équipe qui empêche la modification accidentelle de la configuration et du code DAG de votre environnement:
Créer votre environnement avec Terraform De cette façon, vous pouvez stocker la configuration de l'environnement sous forme de code dans un dépôt.
Attribuez des rôles IAM, afin que seuls les administrateurs puissent accéder au bucket et au cluster de l'environnement, et pour lesquels l'accès direct est désactivé. Par exemple, le rôle Utilisateur de Composer n'autorise l'accès qu'aux interfaces utilisateur DAG et Airflow.
Déployez des DAG dans votre environnement avec un pipeline CI/CD afin que le code DAG soit récupéré à partir d'un dépôt. De cette manière, les DAG sont examinés et approuvés avant la fusion des modifications avec le système de contrôle des versions. Au cours du processus d'examen, les approbateurs vérifient que les DAG répondent aux critères de sécurité définis au sein de leurs équipes. L'étape d'examen est essentielle pour empêcher le déploiement de DAG modifiant le contenu du bucket de l'environnement.
Étapes suivantes
- Présentation du sommet Airflow sur la sécurité des DAG
- Présentation de la sécurité
- Contrôle des accès avec IAM
- Contrôle de l'accès à l'interface utilisateur Airflow