Cloud Composer 1 dalam mode pasca-pemeliharaan. Google tidak merilis update lebih lanjut untuk Cloud Composer 1, termasuk versi baru Airflow, perbaikan bug, dan update keamanan. Sebaiknya rencanakan migrasi ke Cloud Composer 2.

Praktik keamanan terbaik

Cloud Composer 1 | Cloud Composer 2

Halaman ini menjelaskan satu pendekatan yang memungkinkan dalam mengatur keamanan untuk tim yang bekerja dengan lingkungan Cloud Composer.

**Gambar 1.** Contoh pipeline CI/CD Airflow (klik untuk memperbesar)

Cloud Composer menyediakan beberapa fitur keamanan yang dapat Anda gunakan saat menggunakan Airflow di lingkungan Cloud Composer. Selain kontrol akses dengan Identity and Access Management dan Airflow UI Access Control, Anda dapat menyiapkan alur kerja untuk tim yang mencegah modifikasi tidak disengaja pada konfigurasi lingkungan dan kode DAG:

Membuat lingkungan Anda menggunakan Terraform. Dengan cara ini, Anda dapat menyimpan konfigurasi lingkungan sebagai kode di repositori.
Tetapkan peran IAM, sehingga hanya administrator yang dapat mengakses bucket lingkungan dan cluster lingkungan, dan akses langsung dinonaktifkan untuk pengguna reguler. Misalnya, peran Composer User hanya memungkinkan akses ke UI DAG dan UI Airflow.
Deploy DAG di lingkungan Anda dengan pipeline CI/CD, sehingga kode DAG diambil dari repositori. Dengan cara ini, DAG ditinjau dan disetujui sebelum perubahan digabungkan ke sistem kontrol versi. Selama proses peninjauan, pemberi persetujuan memastikan bahwa DAG memenuhi kriteria keamanan yang ditetapkan dalam tim mereka. Langkah peninjauan ini sangat penting untuk mencegah deployment DAG mengubah konten bucket lingkungan.

Praktik keamanan terbaik

Langkah selanjutnya