Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
En esta página, se describe un posible enfoque para organizar la seguridad de un equipo que funciona con un entorno de Cloud Composer.
Cloud Composer proporciona varias funciones de seguridad que puedes usar cuando trabajas con Airflow en un entorno de Cloud Composer. Además de control de acceso con Identity and Access Management Control de acceso de la IU de Airflow, puedes configurar un flujo de trabajo para a tu equipo para evitar la modificación accidental de la configuración configuración y el código DAG:
Crea tu entorno con Terraform. De esta manera, puedes almacenar la configuración del entorno como código en un en un repositorio de confianza.
Asigna roles de IAM para que solo los administradores pueden acceder al bucket y al clúster del entorno, y el acceso directo está inhabilitado para los usuarios normales. Por ejemplo: El rol Usuario de Composer habilita el acceso solo a la IU del DAG y de la IU de Airflow.
Implementa DAG en tu entorno con una canalización de CI/CD, para que el código DAG se recupere de un repositorio. De esta manera, los DAG revisarse y aprobarse antes de que los cambios se combinen con el control de versión en un sistema de archivos. Durante el proceso de revisión, los responsables de aprobación se aseguran de que los DAG cumplan con los los criterios de seguridad establecidos en sus equipos. El paso de revisión es fundamental para evitar la implementación de DAG que modifiquen el contenido del en el bucket de tu entorno.
¿Qué sigue?
- Presentación de la cumbre de Airflow sobre la seguridad del DAG
- Descripción general de seguridad
- Control de acceso con IAM
- Control de acceso a la IU de Airflow