Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Auf dieser Seite wird ein möglicher Ansatz zur Organisation der Sicherheit für ein Team beschrieben, das mit einer Cloud Composer-Umgebung arbeitet.
Cloud Composer bietet mehrere Sicherheitsfunktionen, die Sie bei der Arbeit mit Airflow in einer Cloud Composer-Umgebung verwenden können. Zusätzlich zu Zugriffssteuerung mit Identity and Access Management und Airflow-UI-Zugriffssteuerung können Sie einen Workflow für die unbeabsichtigte Änderungen an beiden Umgebungen verhindert, Konfiguration und DAG-Code:
Umgebung mit Terraform erstellen So können Sie die Umgebungskonfiguration als Code in einem Repository speichern.
IAM-Rollen zuweisen, sodass nur können Administratoren auf den Bucket und den Cluster der Umgebung zugreifen, und der direkte Zugriff ist für normale Nutzer deaktiviert. Mit der Rolle Composer-Nutzer ist beispielsweise nur der Zugriff auf die DAG-Benutzeroberfläche und die Airflow-Benutzeroberfläche möglich.
Bereitstellen Sie DAGs in Ihrer Umgebung mit einer CI/CD-Pipeline, damit DAG-Code aus einem Repository abgerufen wird. So sind DAGs überprüft und genehmigt wurden, bevor die Änderungen in der Versionsverwaltung zusammengeführt werden. System. Während des Überprüfungsprozesses achten die Genehmiger darauf, dass DAGs die Sicherheitskriterien erfüllen, die in ihren Teams festgelegt wurden. Der Schritt „Überprüfung“ ist ist wichtig, um die Bereitstellung von DAGs zu verhindern, die den Inhalt des im Bucket der Umgebung.
Nächste Schritte
- Präsentation vom Airflow Summit zur DAG-Sicherheit
- Sicherheit
- Zugriffssteuerung mit IAM
- Airflow-UI-Zugriffssteuerung