Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1
Proteger tu entorno de Cloud Composer es fundamental para proteger los datos sensibles y evitar el acceso no autorizado. En esta página, se describen las prácticas recomendadas clave, incluidas las recomendaciones para la seguridad de la red, la administración de identidades y accesos, la encriptación y la administración de la configuración del entorno.
Para obtener más información sobre las funciones de seguridad disponibles en Cloud Composer, consulta Descripción general de seguridad.
Administra la configuración del entorno y los DAG con el control de versiones
Crea tu entorno con Terraform. De esta manera, puedes almacenar la configuración del entorno como código en un repositorio. De esta manera, los cambios en la configuración de tu entorno se pueden revisar antes de que se apliquen, y puedes reducir la cantidad de usuarios que tienen permisos para cambiar la configuración asignando roles con menos permisos.
Implementa DAG en tu entorno con una canalización de CI/CD para que el código de DAG se recupere de un repositorio. De esta manera, los DAG se revisan y aprueban antes de que los cambios se combinen con el sistema de control de versiones. Durante el proceso de revisión, los revisores se aseguran de que los DAG cumplan con los criterios de seguridad establecidos en sus equipos. El paso de revisión es fundamental para evitar la implementación de DAGs que modifiquen el contenido del bucket del entorno.
En Identity and Access Management, inhabilita el acceso directo a las DAG y la configuración del ambiente para los usuarios normales, como se detalla en la sección Identity and Access Management.
Seguridad de red
Usa el tipo de red de IP privada para tus entornos de modo que los componentes de Airflow del entorno no tengan acceso a Internet y su Acceso privado a Google se configure a través del rango
private.googleapis.com, que permite el acceso a las APIs, los servicios y los dominios de Google compatibles con este rango.Inhabilita el acceso a Internet cuando instales paquetes de PyPI. En su lugar, usa un repositorio de Artifact Registry como la única fuente de paquetes.
Revisa las reglas de firewall en la red de VPC conectada a tu entorno (si está conectada). Según la forma en que los configures, es posible que los componentes de Airflow de tu entorno, como los trabajadores de Airflow que ejecutan tus DAG, accedan a Internet a través de tu red de VPC.
Identity and Access Management
Aísla los permisos. Crea cuentas de servicio de entorno y usa cuentas de servicio diferentes para diferentes entornos. Asigna a estas cuentas de servicio solo los permisos que sean estrictamente necesarios para operar estos entornos y realizar las operaciones definidas en los DAG de Airflow que ejecutan.
Evita usar cuentas de servicio con permisos amplios. Si bien es posible crear un entorno que use una cuenta con permisos amplios, como los que otorga el rol básico de editor, esto crea un riesgo de que los DAG usen permisos más amplios de lo previsto.
No dependas de las cuentas de servicio predeterminadas de los servicios de Google que usa Cloud Composer. A menudo, es imposible reducir los permisos disponibles para estas cuentas de servicio sin afectar también a otros servicios de Google en tu proyecto.
Asegúrate de conocer las consideraciones de seguridad para las cuentas de servicio del entorno y comprender cómo esta cuenta interactúa con los permisos y roles que otorgas a los usuarios individuales de tu proyecto.
Sigue el principio de privilegio mínimo. Otorga solo los permisos mínimos necesarios a los usuarios. Por ejemplo, asigna roles de IAM para que solo los administradores puedan acceder al bucket del entorno y el acceso directo esté inhabilitado para los usuarios normales. Por ejemplo, el rol de usuario de Composer solo permite el acceso a la IU de DAG y a la IU de Airflow.
Aplica el Control de acceso de la IU de Airflow, que permite reducir la visibilidad en la IU de Airflow y la IU de DAG según el rol de Airflow del usuario y se puede usar para asignar permisos a nivel del DAG para DAG individuales.
Revisa la información con frecuencia. Audita periódicamente los permisos y roles de IAM para identificar y quitar los privilegios excesivos o sin usar.
Ten cuidado con pasar y almacenar datos sensibles:
Ten cuidado cuando pases datos sensibles, como información de identificación personal o contraseñas. Cuando sea necesario, usa Secret Manager para almacenar de forma segura las conexiones y los secretos de Airflow, las claves de API, las contraseñas y los certificados. No almacenes esta información en tus DAG ni en las variables de entorno.
Otorga permisos de IAM al bucket del entorno solo a los usuarios de confianza. Si es posible, usa permisos por objeto. En Consideraciones de seguridad para las cuentas de servicio del entorno, se enumeran varias formas en las que los usuarios con acceso al bucket del entorno pueden realizar acciones en nombre de la cuenta de servicio del entorno.
Asegúrate de conocer qué datos se almacenan en las instantáneas y de proporcionar permisos para crear instantáneas del entorno y acceder al bucket en el que se almacenan solo a los usuarios de confianza.
Todas las interfaces externas de Cloud Composer usan la encriptación de forma predeterminada. Cuando te conectes a productos y servicios externos, asegúrate de usar comunicación encriptada (SSL/TLS).
¿Qué sigue?
- Descripción general de seguridad
- Control de acceso con IAM
- Control de acceso a la IU de Airflow
- Presentación de la cumbre de Airflow sobre la seguridad de DAG