Cloud Composer 1 | Cloud Composer 2
En esta página, se describe un posible enfoque para organizar la seguridad de un equipo que trabaja con un entorno de Cloud Composer.
Cloud Composer ofrece varias funciones de seguridad que puedes usar cuando trabajas con Airflow en un entorno de Cloud Composer. Además del control de acceso con Identity and Access Management y el control de acceso de la IU de Airflow, puedes configurar un flujo de trabajo para tu equipo que evite la modificación accidental de la configuración del entorno y del código DAG:
Crea tu entorno con Terraform. De esta manera, puedes almacenar la configuración del entorno como código en un repositorio.
Asigna funciones de IAM para que solo los administradores puedan acceder al bucket del entorno y al clúster del entorno, y el acceso directo esté inhabilitado para los usuarios normales. Por ejemplo, la función de usuario de Composer permite el acceso solo a la IU del DAG y de la IU de Airflow.
Implementa DAG en tu entorno con una canalización de CI/CD para que el código DAG se recupere desde un repositorio. De esta manera, los DAG se revisan y aprueban antes de combinar los cambios en el sistema de control de versión. Durante el proceso de revisión, los responsables de aprobación se aseguran de que los DAG cumplan con los criterios de seguridad establecidos dentro de sus equipos. El paso de revisión es fundamental para evitar que la implementación de DAG modifique el contenido del bucket del entorno.
¿Qué sigue?
- Presentación en la cumbre de Airflow sobre la seguridad del DAG
- Descripción general de seguridad
- Control de acceso con IAM
- Control de acceso a la IU de Airflow