Cloud Composer 1 | Cloud Composer 2
Cette page décrit une approche possible pour organiser la sécurité pour une équipe travaillant avec un environnement Cloud Composer.
Cloud Composer fournit plusieurs fonctionnalités de sécurité que vous pouvez utiliser lorsque vous travaillez avec Airflow dans un environnement Cloud Composer. En plus du contrôle des accès avec Identity and Access Management et du contrôle des accès à l'UI Airflow, vous pouvez configurer pour votre équipe un workflow qui empêche toute modification accidentelle de la configuration de l'environnement et du code du DAG:
Créer votre environnement à l'aide de Terraform De cette manière, vous pouvez stocker la configuration de l'environnement sous forme de code dans un dépôt.
Attribuez des rôles IAM afin que seuls les administrateurs puissent accéder au bucket et au cluster de l'environnement, et que l'accès direct soit désactivé pour les utilisateurs standards. Par exemple, le rôle Utilisateur Composer ne permet d'accéder qu'à l'UI du DAG et à l'UI d'Airflow.
Déployez des DAG dans votre environnement avec un pipeline CI/CD afin de récupérer le code du DAG depuis un dépôt. De cette manière, les DAG sont examinés et approuvés avant que les modifications ne soient fusionnées avec le système de contrôle des versions. Au cours du processus d'examen, les approbateurs s'assurent que les DAG répondent aux critères de sécurité établis au sein de leurs équipes. L'étape d'examen est essentielle pour éviter que le déploiement des DAG ne modifie le contenu du bucket de l'environnement.
Étapes suivantes
- Présentation Airflow Summit sur la sécurité des DAG
- Présentation de la sécurité
- Contrôle des accès avec IAM
- Contrôle des accès à l'interface utilisateur Airflow