Cloud Composer 1 | Cloud Composer 2
Cette page décrit une approche possible pour organiser la sécurité pour une équipe travaillant avec un environnement Cloud Composer.
Cloud Composer fournit plusieurs fonctionnalités de sécurité que vous pouvez utiliser lorsque vous utilisez Airflow dans un environnement Cloud Composer. En plus du contrôle des accès avec Identity and Access Management et du contrôle des accès de l'UI Airflow, vous pouvez configurer un workflow pour votre équipe qui empêche toute modification accidentelle de la configuration de l'environnement et du code du DAG:
Créez votre environnement à l'aide de Terraform. De cette manière, vous pouvez stocker la configuration de l'environnement sous forme de code dans un dépôt.
Attribuez des rôles IAM, de sorte que seuls les administrateurs puissent accéder au bucket et au cluster de l'environnement, et que l'accès direct soit désactivé pour les utilisateurs standards. Par exemple, le rôle Utilisateur de Composer n'autorise l'accès qu'à l'interface utilisateur des DAG et à celle d'Airflow.
Déployez des DAG dans votre environnement avec un pipeline CI/CD, afin de récupérer le code des DAG dans un dépôt. De cette manière, les DAG sont examinés et approuvés avant la fusion des modifications avec le système de contrôle des versions. Au cours du processus d'examen, les approbateurs s'assurent que les DAG répondent aux critères de sécurité définis au sein de leurs équipes. L'étape d'examen est essentielle pour empêcher le déploiement de DAG modifiant le contenu du bucket de l'environnement.
Étapes suivantes
- Présentation du sommet Airflow sur la sécurité des DAG
- Présentation de la sécurité
- Contrôle des accès avec IAM
- Contrôle des accès à l'interface utilisateur Airflow