安全性方面的最佳做法

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

本页介绍了一种可能的方法，可用于为使用 Cloud Composer 环境的团队组织安全性。

Cloud Composer 提供多种 让您能够使用安全功能 Cloud Composer 环境中的 Airflow。除了使用身份和访问权限管理 (IAM) 进行访问控制和Airflow 界面访问控制之外，您还可以为团队设置工作流，以防止意外修改环境的配置和 DAG 代码：

1. 使用 Terraform 创建环境。 这样，您就可以将环境的配置作为代码存储在代码库中。

2. 分配 IAM 角色，以便仅 管理员可以访问环境的存储桶和环境的集群， 并且普通用户无法直接访问。例如： Composer User 角色仅允许访问 DAG 界面和 Airflow 界面。

3. 使用 CI/CD 流水线在您的环境中部署 DAG。 以便从代码库中检索 DAG 代码。这样一来，DAG 便是 在更改合并到版本控制之前经过审核并获得批准 系统。在审核过程中，审批人要确保 DAG 符合其团队内制定的安全标准。审核步骤为 对防止部署的 DAG 会修改 环境的存储桶中。

后续步骤

• 关于 DAG 安全性的 Airflow 峰会演示文稿
• 安全概览
• 使用 IAM 进行访问权限控制
• Airflow 界面访问权限控制