Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Cette page décrit une approche possible pour organiser la sécurité d'une équipe qui travaille avec un environnement Cloud Composer.
Cloud Composer fournit plusieurs fonctionnalités de sécurité que vous pouvez utiliser lorsque vous travaillez avec Airflow dans un environnement Cloud Composer. En plus de contrôle des accès avec Identity and Access Management, le contrôle des accès à l'interface utilisateur Airflow, vous pouvez configurer un workflow pour pour empêcher toute modification accidentelle des deux environnements de la configuration et du code du DAG:
Créer votre environnement à l'aide de Terraform Vous pouvez ainsi stocker la configuration de l'environnement sous forme de code dans un dépôt.
Attribuez des rôles IAM, de sorte que seuls les administrateurs peuvent accéder au bucket et au cluster de l'environnement, et l'accès direct est désactivé pour les utilisateurs standards. Par exemple, le rôle Utilisateur Composer n'autorise l'accès qu'à l'interface utilisateur du DAG et à l'interface utilisateur d'Airflow.
Déployer des DAG dans votre environnement à l'aide d'un pipeline CI/CD afin que le code du DAG soit extrait d'un dépôt. De cette manière, les DAG sont examinés et approuvés avant que les modifications ne soient fusionnées dans le système de contrôle des versions. Au cours du processus d'examen, les approbateurs s'assurent que les DAG respectent les des critères de sécurité établis au sein de leurs équipes. L'étape d'examen est essentielle pour éviter le déploiement de DAG modifiant le contenu du bucket de l'environnement.
Étape suivante
- Présentation Airflow Summit sur la sécurité des DAG
- Présentation de la sécurité
- Contrôle des accès avec IAM
- Contrôle des accès à l'interface utilisateur Airflow