Cloud Composer 1 处于维护后模式。Google
无法发布 Cloud Composer 1 的进一步更新,包括新版 Airflow、bug 修复和安全更新。我们建议您计划
迁移到 Cloud Composer 2。
安全性方面的最佳做法
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
本页面介绍了为使用 Cloud Composer 环境的团队组织安全性的一种可行方法。
图 1. Airflow CI/CD 流水线示例(点击可放大)
Cloud Composer 提供了多项安全功能,您在 Cloud Composer 环境中使用 Airflow 时可以使用这些功能。除了使用 Identity and Access Management 进行访问权限控制和 Airflow 界面访问权限控制外,您还可以为团队设置工作流,以防止意外修改环境配置和 DAG 代码:
使用 Terraform 创建环境。
这样,您就可以将环境的配置作为代码存储在代码库中。
分配 IAM 角色,以便只有管理员可以访问环境的存储桶和环境的集群,并且普通用户的直接访问功能已停用。例如,Composer User 角色仅允许访问 DAG 界面和 Airflow 界面。
使用 CI/CD 流水线在您的环境中部署 DAG,以便从代码库中检索 DAG 代码。这样,DAG 会在更改合并到版本控制系统之前接受审核和批准。在审核过程中,审批人需确保 DAG 符合其团队制定的安全标准。审核步骤对于防止部署的 DAG 修改环境存储桶的内容至关重要。
后续步骤
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2024-07-06。
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻译问题"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"其他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"易于理解"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"解决了我的问题"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"其他"
}]
