Cloud Composer 1 | Cloud Composer 2
Nesta página, descrevemos uma possível abordagem para organizar a segurança de uma equipe que trabalha com um ambiente do Cloud Composer.
O Cloud Composer fornece vários recursos de segurança que podem ser usados ao trabalhar com o Airflow em um ambiente do Cloud Composer. Além do controle de acesso com o Identity and Access Management e do controle de acesso da interface do Airflow, é possível definir um fluxo de trabalho para sua equipe que evite a modificação acidental da configuração do ambiente e do código DAG:
Criar seu ambiente usando o Terraform. Dessa forma, é possível armazenar a configuração do ambiente como código em um repositório.
Atribua papéis do IAM para que apenas os administradores possam acessar o bucket e o cluster do ambiente e o acesso direto seja desativado para usuários comuns. Por exemplo, o papel Usuário do Composer permite acesso apenas à IU do DAG e do Airflow.
Implante DAGs no seu ambiente com um pipeline de CI/CD para que o código DAG seja recuperado de um repositório. Dessa forma, os DAGs são revisados e aprovados antes que as alterações sejam mescladas no sistema de controle de versões. Durante o processo de revisão, os aprovadores garantem que os DAGs atendam aos critérios de segurança estabelecidos nas equipes. A etapa de revisão é essencial para evitar a implantação de DAGs que modifiquem o conteúdo do bucket do ambiente.
A seguir
- Apresentação da conferência do Airflow sobre segurança de DAGs
- Visão geral da segurança
- Controle de acesso com o IAM
- Controle de acesso à interface do Airflow