Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Cette page décrit une approche possible pour organiser la sécurité pour une équipe compatible avec un environnement Cloud Composer.
Cloud Composer propose plusieurs fonctionnalités de sécurité que vous pouvez utiliser lorsque vous travaillez avec Airflow dans un environnement Cloud Composer. En plus du contrôle des accès avec Identity and Access Management et du contrôle des accès à l'interface utilisateur d'Airflow, vous pouvez configurer un workflow pour votre équipe qui empêche toute modification accidentelle de la configuration de l'environnement et du code DAG :
Créez votre environnement à l'aide de Terraform. De cette façon, vous pouvez stocker la configuration de l'environnement sous forme de code dans un un dépôt de clés.
Attribuez des rôles IAM, de sorte que seuls les administrateurs peuvent accéder au bucket et au cluster de l'environnement, et l'accès direct est désactivé pour les utilisateurs standards. Par exemple, le rôle Utilisateur Composer n'autorise l'accès qu'à l'interface utilisateur du DAG et à l'interface utilisateur d'Airflow.
Déployez des DAG dans votre environnement avec un pipeline CI/CD afin que le code DAG soit récupéré à partir d'un dépôt. De cette façon, les DAG examiné et approuvé avant que les modifications ne soient fusionnées avec le contrôle des versions du système d'exploitation. Au cours du processus d'examen, les approbateurs s'assurent que les DAG respectent les des critères de sécurité établis au sein de leurs équipes. L'étape d'examen est essentielle pour éviter le déploiement de DAG modifiant le contenu du bucket de l'environnement.
Étape suivante
- Présentation du sommet Airflow sur la sécurité des DAG
- Présentation de la sécurité
- Contrôle des accès avec IAM
- Contrôle des accès à l'interface utilisateur d'Airflow