Chinese - Ht Cloud
HackTricks TrainingTwitterLinkedinSponsor

Airflow RBAC

支持 HackTricks

RBAC

(来自文档)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: Airflow 默认提供一组 角色AdminUserOpViewerPublic只有 Admin 用户可以 配置/更改其他角色的权限。但不建议 Admin 用户以任何方式更改这些默认角色,删除或添加这些角色的权限。

  • Admin 用户拥有所有可能的权限。

  • Public 用户(匿名)没有任何权限。

  • Viewer 用户拥有有限的查看权限(仅可读)。他 无法查看配置。

  • User 用户拥有 Viewer 权限以及额外的用户权限,允许他管理 DAG。他 可以查看配置文件。

  • Op 用户拥有 User 权限以及额外的操作权限。

请注意,admin 用户可以 创建更多角色,并赋予更 细粒度的权限

还要注意,唯一具有 列出用户和角色权限的默认角色是 Admin,连 Op 都无法做到这一点。

默认权限

以下是每个默认角色的默认权限:

  • Admin

[可以在连接上删除,可以在连接上读取,可以在连接上编辑,可以在连接上创建,可以在 DAG 上读取,可以在 DAG 上编辑,可以在 DAG 上删除,可以在 DAG 运行上读取,可以在任务实例上读取,可以在任务实例上编辑,可以在 DAG 运行上删除,可以在 DAG 运行上创建,可以在 DAG 运行上编辑,可以在审计日志上读取,可以在导入错误上读取,可以在池上删除,可以在池上读取,可以在池上编辑,可以在池上创建,可以在提供者上读取,可以在变量上删除,可以在变量上读取,可以在变量上编辑,可以在变量上创建,可以在 XComs 上读取,可以在 DAG 代码上读取,可以在配置上读取,可以在插件上读取,可以在角色上读取,可以在权限上读取,可以在角色上删除,可以在角色上编辑,可以在角色上创建,可以在用户上读取,可以在用户上创建,可以在用户上编辑,可以在用户上删除,可以在 DAG 依赖上读取,可以在作业上读取,可以在我的密码上读取,可以在我的密码上编辑,可以在我的个人资料上读取,可以在我的个人资料上编辑,可以在 SLA 漏失上读取,可以在任务日志上读取,可以在网站上读取,菜单访问浏览,菜单访问 DAG 依赖,菜单访问 DAG 运行,菜单访问文档,菜单访问文档,菜单访问作业,菜单访问审计日志,菜单访问插件,菜单访问 SLA 漏失,菜单访问任务实例,可以在任务实例上创建,可以在任务实例上删除,菜单访问 Admin,菜单访问配置,菜单访问连接,菜单访问池,菜单访问变量,菜单访问 XComs,可以在 XComs 上删除,可以在任务重新调度上读取,菜单访问任务重新调度,可以在触发器上读取,菜单访问触发器,可以在密码上读取,可以在密码上编辑,菜单访问列出用户,菜单访问安全,菜单访问列出角色,可以在用户统计图上读取,菜单访问用户统计,菜单访问基本权限,可以在视图菜单上读取,菜单访问视图/菜单,可以在权限视图上读取,菜单访问视图/菜单上的权限,可以在 MenuApi 上获取,菜单访问提供者,可以在 XComs 上创建]

  • Op

[可以在连接上删除,可以在连接上读取,可以在连接上编辑,可以在连接上创建,可以在 DAG 上读取,可以在 DAG 上编辑,可以在 DAG 上删除,可以在 DAG 运行上读取,可以在任务实例上读取,可以在任务实例上编辑,可以在 DAG 运行上删除,可以在 DAG 运行上创建,可以在 DAG 运行上编辑,可以在审计日志上读取,可以在导入错误上读取,可以在池上删除,可以在池上读取,可以在池上编辑,可以在池上创建,可以在提供者上读取,可以在变量上删除,可以在变量上读取,可以在变量上编辑,可以在变量上创建,可以在 XComs 上读取,可以在 DAG 代码上读取,可以在配置上读取,可以在插件上读取,可以在 DAG 依赖上读取,可以在作业上读取,可以在我的密码上读取,可以在我的密码上编辑,可以在我的个人资料上读取,可以在我的个人资料上编辑,可以在 SLA 漏失上读取,可以在任务日志上读取,可以在网站上读取,菜单访问浏览,菜单访问 DAG 依赖,菜单访问 DAG 运行,菜单访问文档,菜单访问文档,菜单访问作业,菜单访问审计日志,菜单访问插件,菜单访问 SLA 漏失,菜单访问任务实例,可以在任务实例上创建,可以在任务实例上删除,菜单访问 Admin,菜单访问配置,菜单访问连接,菜单访问池,菜单访问变量,菜单访问 XComs,可以在 XComs 上删除]

  • User

[可以在 DAG 上读取,可以在 DAG 上编辑,可以在 DAG 上删除,可以在 DAG 运行上读取,可以在任务实例上读取,可以在任务实例上编辑,可以在 DAG 运行上删除,可以在 DAG 运行上创建,可以在 DAG 运行上编辑,可以在审计日志上读取,可以在导入错误上读取,可以在 XComs 上读取,可以在 DAG 代码上读取,可以在插件上读取,可以在 DAG 依赖上读取,可以在作业上读取,可以在我的密码上读取,可以在我的密码上编辑,可以在我的个人资料上读取,可以在我的个人资料上编辑,可以在 SLA 漏失上读取,可以在任务日志上读取,可以在网站上读取,菜单访问浏览,菜单访问 DAG 依赖,菜单访问 DAG 运行,菜单访问文档,菜单访问文档,菜单访问作业,菜单访问审计日志,菜单访问插件,菜单访问 SLA 漏失,菜单访问任务实例,可以在任务实例上创建,可以在任务实例上删除]

  • Viewer

[可以在 DAG 上读取,可以在 DAG 运行上读取,可以在任务实例上读取,可以在审计日志上读取,可以在导入错误上读取,可以在 XComs 上读取,可以在 DAG 代码上读取,可以在插件上读取,可以在 DAG 依赖上读取,可以在作业上读取,可以在我的密码上读取,可以在我的密码上编辑,可以在我的个人资料上读取,可以在我的个人资料上编辑,可以在 SLA 漏失上读取,可以在任务日志上读取,可以在网站上读取,菜单访问浏览,菜单访问 DAG 依赖,菜单访问 DAG 运行,菜单访问文档,菜单访问文档,菜单访问作业,菜单访问审计日志,菜单访问插件,菜单访问 SLA 漏失,菜单访问任务实例]

  • Public

[]

支持 HackTricks
PreviousAirflow ConfigurationNextTerraform Security

Last updated