Cloud Composer 1 dalam mode pasca-pemeliharaan. Google tidak merilis update lebih lanjut untuk Cloud Composer 1, termasuk versi baru Airflow, perbaikan bug, dan update keamanan. Sebaiknya rencanakan migrasi ke Cloud Composer 2.

Halaman ini diterjemahkan oleh Cloud Translation API.

Praktik keamanan terbaik

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Halaman ini menjelaskan satu kemungkinan pendekatan untuk mengelola keamanan tim yang berfungsi dengan lingkungan Cloud Composer.

**Gambar 1.** Contoh pipeline CI/CD Airflow (klik untuk memperbesar)

Cloud Composer menyediakan beberapa fitur keamanan yang dapat Anda gunakan saat menangani Airflow di lingkungan Cloud Composer. Selain dengan Identity and Access Management Dengan Kontrol Akses UI Airflow, Anda dapat menyiapkan alur kerja untuk tim Anda yang mencegah modifikasi yang tidak disengaja terhadap kedua perangkat konfigurasi dan kode DAG:

Buat lingkungan Anda menggunakan Terraform. Dengan cara ini, Anda bisa menyimpan konfigurasi lingkungan sebagai kode di repositori resource.
Menetapkan peran IAM, sehingga hanya administrator dapat mengakses bucket lingkungan dan cluster lingkungan, dan akses langsung dinonaktifkan untuk pengguna biasa. Misalnya, peran Composer User hanya memungkinkan akses ke DAG UI dan UI Airflow.
Men-deploy DAG di lingkungan Anda dengan pipeline CI/CD, sehingga kode DAG dapat diambil dari repositori. Dengan cara ini, DAG ditinjau dan disetujui sebelum perubahannya digabungkan ke kontrol versi sistem file. Selama proses peninjauan, pemberi persetujuan memastikan bahwa DAG memenuhi kriteria keamanan yang ditetapkan dalam tim mereka. Langkah peninjauannya adalah agar deployment DAG tidak dapat memodifikasi konten bucket lingkungan.

Praktik keamanan terbaik

Langkah selanjutnya