安全性方面的最佳做法

Cloud Composer 1 |Cloud Composer 2 |Cloud Composer 3

本页介绍了一种可能的方法，可用于为使用 Cloud Composer 环境的团队组织安全性。

Cloud Composer 提供了 让您能够使用安全功能 Cloud Composer 环境中的 Airflow。除了 使用 Identity and Access Management 进行访问权限控制和 Airflow 界面访问权限控制，您可以设置工作流 防止两个环境的意外修改 配置和 DAG 代码：

1. 使用 Terraform 创建环境。这样，您就可以将环境配置作为代码 存储库

2. 分配 IAM 角色，以便仅 管理员可以访问环境的存储桶和环境的集群， 并且普通用户无法直接访问。例如，Composer 用户角色仅允许访问 DAG 界面和 Airflow 界面。

3. 使用 CI/CD 流水线在您的环境中部署 DAG。 以便从代码库中检索 DAG 代码。这样，DAG 会先经过审核和批准，然后再将更改合并到版本控制系统。在审核流程中，审批者需要确保 DAG 符合 安全标准。审核步骤至关重要，可防止部署的 DAG 修改环境存储桶中的内容。

后续步骤

• 关于 DAG 安全性的 Airflow 峰会演示文稿
• 安全概览
• 使用 IAM 进行访问权限控制
• Airflow 界面访问权限控制