Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Esta página descreve uma abordagem possível para organizar a segurança de uma equipe que funciona com um ambiente do Cloud Composer.
O Cloud Composer fornece várias recursos de segurança que você pode usar ao trabalhar com Airflow em um ambiente do Cloud Composer. Além de controle de acesso com o Identity and Access Management e Controle de acesso à interface do Airflow, é possível configurar um fluxo de trabalho para sua equipe que impeça a modificação acidental dos recursos do ambiente e o código DAG:
Crie seu ambiente usando o Terraform. Dessa forma, você pode armazenar a configuração do ambiente como código em uma repositório de dados.
Atribua papéis do IAM, para que apenas os administradores podem acessar o bucket e o cluster do ambiente, e o acesso direto desativado para usuários comuns. Por exemplo: o papel Usuário do Composer dá acesso apenas à interface do DAG e do Airflow.
Implantar DAGs no seu ambiente com um pipeline de CI/CD para que o código DAG seja recuperado de um repositório. Dessa forma, os DAGs são revisado e aprovado antes de as alterações serem mescladas no controle de versões sistema. Durante o processo de análise, os aprovadores verificam se os DAGs atendem aos os critérios de segurança estabelecidos dentro das equipes. A etapa de revisão é essencial para evitar que os DAGs modifiquem o conteúdo do bucket do seu ambiente de execução.
A seguir
- Apresentação da conferência do Airflow sobre segurança do DAG
- Visão geral da segurança
- Controle de acesso com o IAM
- Controle de acesso à interface do Airflow