Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
En esta página, se describe un posible enfoque para organizar la seguridad de un equipo que trabaja con un entorno de Cloud Composer.
Cloud Composer proporciona varias funciones de seguridad que puedes usar cuando trabajas con Airflow en un entorno de Cloud Composer. Además del control de acceso con la administración de identidades y accesos y el control de acceso de la IU de Airflow, puedes configurar un flujo de trabajo para tu equipo que evite la modificación accidental de la configuración del entorno y el código de DAG:
Crea tu entorno con Terraform. De esta manera, puedes almacenar la configuración del entorno como código en un en un repositorio de confianza.
Asigna roles de IAM para que solo los administradores puedan acceder al bucket y al clúster del entorno, y el acceso directo esté inhabilitado para los usuarios normales. Por ejemplo: El rol Usuario de Composer habilita el acceso solo a la IU del DAG y de la IU de Airflow.
Implementa DAG en tu entorno con una canalización de CI/CD, para que el código DAG se recupere de un repositorio. De esta manera, los DAG revisarse y aprobarse antes de que los cambios se combinen con el control de versión en un sistema de archivos. Durante el proceso de revisión, los revisores se aseguran de que los DAG cumplan con los criterios de seguridad establecidos en sus equipos. El paso de revisión es fundamental para evitar la implementación de DAGs que modifiquen el contenido del bucket del entorno.
¿Qué sigue?
- Presentación de la cumbre de Airflow sobre la seguridad del DAG
- Descripción general de seguridad
- Control de acceso con IAM
- Control de acceso a la IU de Airflow