為因應客戶對 OSS 解決方案日益成長的需求，並進一步提升服務品質，Cloud Composer 將演變為 Managed Service for Apache Airflow。更名後，客戶將能更清楚瞭解我們的產品組合，同時也再次展現我們致力於打造最開放雲端生態系統的決心。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Managed Airflow 安全性總覽

Managed Airflow (第 3 代) | Managed Airflow (第 2 代) | Managed Airflow (舊版第 1 代)

Managed Airflow 提供多項安全功能和法規遵循措施，可協助安全需求較嚴格的企業。

這三個章節將介紹 Managed Airflow 的安全防護功能：

基礎安全防護功能。說明 Managed Airflow 環境預設提供的功能。
進階安全功能。說明可用於根據安全防護需求修改 Managed Airflow 的功能。
符合標準。提供 Managed Airflow 遵循的標準清單。

基本安全防護功能

本節列出每個 Managed Airflow 環境預設提供的安全性相關功能。

靜態資料加密

Managed Airflow 會在 Google Cloud使用靜態資料加密。

Managed Airflow 會將資料儲存在不同服務中。舉例來說，Airflow 中繼資料資料庫會使用 Cloud SQL 資料庫，DAG 則儲存在 Cloud Storage 值區中。

根據預設，資料會使用 Google-owned and Google-managed encryption keys加密。

您也可以選擇使用客戶管理的加密金鑰，為 Managed Airflow 環境加密。

統一值區層級存取權

統一 bucket 層級存取權可讓您統一控管 Cloud Storage 資源的存取權。這項機制也適用於環境的 bucket，其中儲存了 DAG 和外掛程式。

使用者權限

Managed Airflow 提供多項功能，可管理使用者權限：

IAM 角色和權限。只有帳戶已新增至專案 IAM 的使用者，才能存取專案中的 Managed Airflow 環境。 Google Cloud
Managed Airflow 專屬角色和權限。您可以在專案中指派這些角色和權限給使用者帳戶。每個角色都會定義使用者帳戶可在專案中對 Managed Airflow 環境執行的作業類型。
Airflow UI 存取權控管。專案中的使用者在 Airflow UI 中可能會有不同的存取層級。這項機制稱為 Airflow UI 存取權控管 (Airflow 角色型存取權控管，或 Airflow RBAC)。
網域限定共用功能 (DRS)。Managed Airflow 支援網域限定共用機構政策。使用這項政策後，只有所選網域的使用者可以存取環境。

私人 IP 環境

您可以在私人 IP 網路設定中建立 Managed Airflow 環境。

在私人 IP 模式中，環境叢集的節點沒有外部 IP 位址，也不會透過公開網際網路通訊。

環境的叢集使用受防護的 VM

受防護的 VM 是 Google Cloud 上由一組安全控管機制所強化的虛擬機器 (VM)，有助抵禦 Rootkit 與 Bootkit 攻擊。

Managed Airflow 環境會使用受防護的 VM，執行環境叢集的節點。

進階安全防護功能

本節列出 Managed Airflow 環境的進階安全性相關功能。

客戶自行管理的加密金鑰 (CMEK)

Managed Airflow 支援客戶自行管理的加密金鑰 (CMEK)。CMEK 可讓您進一步控管用於加密 Google Cloud 專案中靜態資料的金鑰。

您可以搭配使用 CMEK 和 Managed Airflow，加密及解密 Managed Airflow 環境產生的資料。

支援 VPC Service Controls (VPC SC)

VPC Service Controls 是一種機制，可降低資料竊取風險。

您可以在 VPC Service Controls 範圍內選取 Managed Airflow 做為安全服務。Managed Airflow 使用的所有基礎資源都已設定為支援 VPC Service Controls 架構，並遵循相關規則。您只能在 VPC SC 周邊建立私人 IP 環境。

部署Managed Airflow 環境並搭配使用 VPC Service Controls，可享有以下優點：

降低資料竊取風險。
防止因存取控管設定錯誤而導致資料暴露。
降低惡意使用者將資料複製到未經授權資源的風險，或外部攻擊者從網際網路存取資源的風險。Google Cloud Google Cloud

網路伺服器網路存取控管層級 (ACL)

Managed Airflow 中的 Airflow 網路伺服器一律會佈建可從外部存取的 IP 位址。您可以控管可存取 Airflow UI 的 IP 位址。Managed Airflow 支援 IPv4 和 IPv6 範圍。

您可以在 Google Cloud 控制台、gcloud、API 和 Terraform 中設定網路伺服器存取限制。

將 Secret Manager 做為機密設定資料的儲存空間

在 Managed Airflow 中，您可以設定 Airflow 使用 Secret Manager 做為後端，儲存 Airflow 連線變數。

DAG 開發人員也可以從 DAG 程式碼讀取 Secret Manager 中儲存的變數和連線。

符合標準

如要查看 Managed Airflow 是否符合各項標準，請參閱下列連結頁面：

另請參閱

本文提及的部分安全功能，已在 2020 年 Airflow 峰會的簡報中討論：以安全的方式執行 Airflow DAG。

Managed Airflow 安全性總覽 透過集合功能整理內容 你可以依據偏好儲存及分類內容。