Cloud Composer 1 | Cloud Composer 2
Cette page décrit une approche possible pour organiser la sécurité dans une équipe qui fonctionne avec un environnement Cloud Composer.
Cloud Composer fournit plusieurs fonctionnalités de sécurité que vous pouvez utiliser lorsque vous utilisez Airflow dans un environnement Cloud Composer. En plus du contrôle des accès avec Identity and Access Management et du contrôle des accès à l'interface utilisateur Airflow, vous pouvez mettre en place un workflow pour votre équipe afin d'empêcher toute modification accidentelle de la configuration de l'environnement et du code DAG:
Créez votre environnement à l'aide de Terraform. De cette façon, vous pouvez stocker la configuration de l'environnement sous forme de code dans un dépôt.
Attribuez des rôles IAM, de sorte que seuls les administrateurs puissent accéder au bucket et au cluster d'environnement, et que l'accès direct soit désactivé pour les utilisateurs standards. Par exemple, le rôle Utilisateur de Composer n'autorise l'accès qu'à l'interface utilisateur du DAG et d'Airflow.
Déployez des DAG dans votre environnement avec un pipeline CI/CD, afin que le code DAG soit récupéré à partir d'un dépôt. De cette manière, les DAG sont examinés et approuvés avant la fusion des modifications avec le système de contrôle des versions. Au cours du processus d'examen, les approbateurs vérifient que les DAG répondent aux critères de sécurité établis au sein de leurs équipes. L'étape d'examen est essentielle pour empêcher le déploiement de DAG modifiant le contenu du bucket de l'environnement.
Étapes suivantes
- Présentation du sommet Airflow sur la sécurité des DAG
- Présentation de la sécurité
- Contrôle des accès avec IAM
- Contrôle d'accès de l'interface utilisateur Airflow