Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
En esta página, se describe un enfoque posible a fin de organizar la seguridad para un equipo que trabaja con un entorno de Cloud Composer.
Cloud Composer proporciona varias funciones de seguridad que puedes usar cuando trabajas con Airflow en un entorno de Cloud Composer. Además del control de acceso con Identity and Access Management y el control de acceso de la IU de Airflow, puedes configurar un flujo de trabajo para tu equipo que evite la modificación accidental de la configuración del entorno y del código DAG:
Crea tu entorno con Terraform. De esta manera, puedes almacenar la configuración del entorno como código en un repositorio.
Asigna funciones de IAM, de modo que solo los administradores puedan acceder al bucket del entorno y al clúster del entorno, y que el acceso directo esté inhabilitado para los usuarios normales. Por ejemplo, la función Usuario de Composer habilita el acceso solo a la IU del DAG y de la IU de Airflow.
Implementa DAG en tu entorno con una canalización de CI/CD para que el código DAG se recupere de un repositorio. De esta manera, los DAG se revisan y aprueban antes de que los cambios se combinen con el sistema de control de versión. Durante el proceso de revisión, los responsables de aprobación se aseguran de que los DAG cumplan con los criterios de seguridad establecidos en sus equipos. El paso de revisión es fundamental para evitar la implementación de DAG que modifiquen el contenido del bucket del entorno.
¿Qué sigue?
- Presentación de la cumbre de Airflow sobre la seguridad del DAG
- Descripción general de seguridad
- Control de acceso con IAM
- Control de acceso a la IU de Airflow