Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Cette page décrit une approche possible pour organiser la sécurité pour une équipe compatible avec un environnement Cloud Composer.
Cloud Composer propose plusieurs fonctionnalités de sécurité que vous pouvez utiliser lorsque vous travaillez avec Airflow dans un environnement Cloud Composer. En plus de contrôle des accès avec Identity and Access Management, le contrôle des accès à l'interface utilisateur Airflow, vous pouvez configurer un workflow pour pour empêcher toute modification accidentelle des deux environnements de la configuration et du code du DAG:
Créer votre environnement à l'aide de Terraform De cette façon, vous pouvez stocker la configuration de l'environnement sous forme de code dans un un dépôt de clés.
Attribuez des rôles IAM afin que seuls les administrateurs puissent accéder au bucket et au cluster de l'environnement, et que l'accès direct soit désactivé pour les utilisateurs standards. Par exemple : Le rôle Utilisateur Composer ne permet d'accéder qu'à l'UI du DAG et à l'UI d'Airflow.
Déployer des DAG dans votre environnement à l'aide d'un pipeline CI/CD afin que le code du DAG soit extrait d'un dépôt. De cette façon, les DAG examiné et approuvé avant que les modifications ne soient fusionnées avec le contrôle des versions du système d'exploitation. Au cours du processus d'examen, les approbateurs s'assurent que les DAG répondent aux critères de sécurité établis au sein de leurs équipes. L'étape de révision est essentiel pour empêcher le déploiement des DAG de modifier le contenu bucket de l'environnement.
Étape suivante
- Présentation du sommet Airflow sur la sécurité des DAG
- Présentation de la sécurité
- Contrôle des accès avec IAM
- Contrôle des accès à l'interface utilisateur Airflow