Cloud Composer 1 | Cloud Composer 2
Questa pagina descrive un possibile approccio all'organizzazione della sicurezza per un team che lavora con un ambiente Cloud Composer.
Cloud Composer offre diverse funzionalità di sicurezza che puoi utilizzare quando lavori con Airflow in un ambiente Cloud Composer. Oltre al controllo dell'accesso con Identity and Access Management e al controllo dell'accesso all'UI di Airflow, puoi configurare un flusso di lavoro per il tuo team che impedisca la modifica accidentale della configurazione dell'ambiente e del codice DAG:
Crea l'ambiente utilizzando Terraform. In questo modo puoi archiviare la configurazione dell'ambiente come codice in un repository.
Assegna ruoli IAM in modo che solo gli amministratori possano accedere al bucket e al cluster dell'ambiente e l'accesso diretto sia disabilitato per gli utenti normali. Ad esempio, il ruolo Utente Composer consente l'accesso solo alla UI DAG e alla UI di Airflow.
Esegui il deployment di DAG nel tuo ambiente con una pipeline CI/CD, in modo che il codice DAG venga recuperato da un repository. In questo modo, i DAG vengono esaminati e approvati prima che le modifiche vengano unite al sistema di controllo della versione. Durante il processo di revisione, gli approvatori assicurano che i DAG soddisfino i criteri di sicurezza stabiliti all'interno dei propri team. Il passaggio di revisione è fondamentale per impedire il deployment dei DAG che modificano il contenuto del bucket dell'ambiente.
Passaggi successivi
- Presentazione del summit Airflow sulla sicurezza dei DAG
- Panoramica della sicurezza
- Controllo dell'accesso con IAM
- Controllo dell'accesso alla UI di Airflow