2026 年 9 月 15 日，所有 Cloud Composer 1 和 Cloud Composer 2 2.0.x 版環境將達到預計的生命週期終止日，屆時您將無法使用這些環境。建議您規劃遷移至 Cloud Composer 3。

本頁面由 Cloud Translation API 翻譯而成。

Cloud Composer 安全性總覽

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

Cloud Composer 提供多項安全功能和法規遵循措施，可協助安全需求較嚴格的企業。

這三個部分會介紹 Cloud Composer 安全性功能：

基礎安全防護功能。說明 Cloud Composer 環境預設提供的功能。
進階安全功能。說明可用於修改 Cloud Composer 以符合安全需求的各項功能。
符合標準。提供 Cloud Composer 遵循的標準清單。

基本安全防護功能

本節列出每個 Cloud Composer 環境預設提供的安全性相關功能。

靜態資料加密

Cloud Composer 會使用靜態資料加密 Google Cloud。

Cloud Composer 會將資料儲存在不同服務中。舉例來說，Airflow 中繼資料資料庫會使用 Cloud SQL 資料庫，而 DAG 則儲存在 Cloud Storage 值區中。

根據預設，資料會使用 Google-owned and Google-managed encryption keys加密。

您也可以視需要設定 Cloud Composer 環境，以客戶管理的加密金鑰加密。

統一值區層級存取權

統一 bucket 層級存取權可讓您統一控管 Cloud Storage 資源的存取權。這項機制也適用於環境的 bucket，其中儲存了 DAG 和外掛程式。

使用者權限

Cloud Composer 提供多項功能，可管理使用者權限：

IAM 角色和權限。只有帳戶已新增至專案 IAM 的使用者，才能存取 Google Cloud 專案中的 Cloud Composer 環境。
Cloud Composer 專屬角色和權限。您可以在專案中指派這些角色和權限給使用者帳戶。每個角色都會定義使用者帳戶可在專案的 Cloud Composer 環境中執行的作業類型。
Airflow UI 存取權控管。專案中的使用者在 Airflow UI 中可能會有不同的存取層級。這項機制稱為 Airflow UI 存取權控管 (Airflow 角色型存取權控管，或 Airflow RBAC)。
網域限定共用 (DRS)。Cloud Composer 支援網域限定共用機構政策。如果使用這項政策，只有所選網域的使用者可以存取環境。

私人 IP 環境

您可以在私人 IP 網路設定中建立 Cloud Composer 環境。您也可以將現有環境切換為私人 IP 網路設定。

在私人 IP 模式中，環境的 Airflow 元件 (以及 DAG) 無法存取公開網際網路。視虛擬私有雲網路的設定方式而定，私人 IP 環境可透過虛擬私有雲網路存取網際網路。

環境的叢集使用受防護的 VM

受防護的 VM 是 Google Cloud 上由一組安全控管機制所強化的虛擬機器 (VM)，有助抵禦 Rootkit 與 Bootkit 攻擊。 Google Cloud

Cloud Composer 環境會使用安全防護虛擬機執行環境叢集的節點。

進階安全性功能

本節列出 Cloud Composer 環境的進階安全性相關功能。

客戶自行管理的加密金鑰 (CMEK)

Cloud Composer 支援客戶管理的加密金鑰 (CMEK)。CMEK 可讓您進一步控管用於加密 Google Cloud 專案中靜態資料的金鑰。

您可以搭配 Cloud Composer 使用 CMEK，加密及解密 Cloud Composer 環境產生的資料。

支援 VPC Service Controls (VPC SC)

VPC Service Controls 是一種機制，可降低資料竊取風險。

Cloud Composer 可在 VPC Service Controls 服務範圍內選為安全服務。Cloud Composer 使用的所有基礎資源都已設定為支援 VPC Service Controls 架構，並遵循相關規則。您只能在虛擬私有雲服務控制項範圍中建立私人 IP 環境。

部署使用 VPC Service Controls 的 Cloud Composer 環境可提供以下優點：

降低資料外洩風險。
防止因存取控制設定錯誤而導致資料外洩。
降低惡意使用者將資料複製到未經授權的Google Cloud 資源，或外部攻擊者從網際網路存取Google Cloud 資源的風險。

網路伺服器的網路存取權控管層級 (ACL)

Cloud Composer 中的 Airflow 網路伺服器一律會佈建可從外部存取的 IP 位址。您可以控管可存取 Airflow UI 的 IP 位址。Cloud Composer 支援 IPv4 和 IPv6 範圍。

您可以在 Google Cloud 控制台、gcloud、API 和 Terraform 中設定網路伺服器存取限制。

使用 Secret Manager 儲存機密設定資料

在 Cloud Composer 中，您可以將 Airflow 設為使用 Secret Manager 做為後端，儲存 Airflow 連線變數。

DAG 開發人員也可以從 DAG 程式碼讀取儲存在 Secret Manager 中的變數和連線。

符合標準

請參閱下列連結的頁面，瞭解 Cloud Composer 是否符合各項標準：

另請參閱

本文提及的部分安全功能，在 2020 年 Airflow 峰會的簡報中也有討論：以安全的方式執行 Airflow DAG。

Cloud Composer 安全性總覽 透過集合功能整理內容 你可以依據偏好儲存及分類內容。