安全性方面的最佳做法

Cloud Composer 1 | Cloud Composer 2

本页面介绍了为使用 Cloud Composer 环境的团队组织安全的一种可行方法。

Cloud Composer 提供了一些安全功能，供您在 Cloud Composer 环境中使用 Airflow 时使用。除了使用 Identity and Access Management 进行访问权限控制和 Airflow 界面访问权限控制之外，您还可以为团队设置工作流，防止环境的配置和 DAG 代码被意外修改：

1. 使用 Terraform 创建环境。 通过这种方式，您就可以将环境的配置作为代码存储在代码库中。

2. 分配 IAM 角色，以便只有管理员可以访问环境的存储桶和环境的集群，并为普通用户停用直接访问。例如，Composer User 角色仅允许访问 DAG 界面和 Airflow 界面。

3. 使用 CI/CD 流水线在您的环境中部署 DAG，以便从代码库中检索 DAG 代码。这样，DAG 会在将更改合并到版本控制系统之前进行审核并批准。在审核流程中，审批人需要确保 DAG 符合其团队制定的安全标准。为防止部署修改环境存储桶内容的 DAG，检查步骤至关重要。

后续步骤

• 关于 DAG 安全性的 Airflow 峰会演示文稿
• 安全概览
• 使用 IAM 进行访问权限控制
• Airflow 界面访问权限控制