Airflow RBAC
Last updated
Last updated
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
(来自文档)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: Airflow 默认提供一组 角色:Admin、User、Op、Viewer 和 Public。只有 Admin
用户可以 配置/更改其他角色的权限。但不建议 Admin
用户以任何方式更改这些默认角色,删除或添加这些角色的权限。
Admin
用户拥有所有可能的权限。
Public
用户(匿名)没有任何权限。
Viewer
用户拥有有限的查看权限(仅可读)。他 无法查看配置。
User
用户拥有 Viewer
权限以及额外的用户权限,允许他管理 DAG。他 可以查看配置文件。
Op
用户拥有 User
权限以及额外的操作权限。
请注意,admin 用户可以 创建更多角色,并赋予更 细粒度的权限。
还要注意,唯一具有 列出用户和角色权限的默认角色是 Admin,连 Op 都无法做到这一点。
以下是每个默认角色的默认权限:
Admin
[可以在连接上删除,可以在连接上读取,可以在连接上编辑,可以在连接上创建,可以在 DAG 上读取,可以在 DAG 上编辑,可以在 DAG 上删除,可以在 DAG 运行上读取,可以在任务实例上读取,可以在任务实例上编辑,可以在 DAG 运行上删除,可以在 DAG 运行上创建,可以在 DAG 运行上编辑,可以在审计日志上读取,可以在导入错误上读取,可以在池上删除,可以在池上读取,可以在池上编辑,可以在池上创建,可以在提供者上读取,可以在变量上删除,可以在变量上读取,可以在变量上编辑,可以在变量上创建,可以在 XComs 上读取,可以在 DAG 代码上读取,可以在配置上读取,可以在插件上读取,可以在角色上读取,可以在权限上读取,可以在角色上删除,可以在角色上编辑,可以在角色上创建,可以在用户上读取,可以在用户上创建,可以在用户上编辑,可以在用户上删除,可以在 DAG 依赖上读取,可以在作业上读取,可以在我的密码上读取,可以在我的密码上编辑,可以在我的个人资料上读取,可以在我的个人资料上编辑,可以在 SLA 漏失上读取,可以在任务日志上读取,可以在网站上读取,菜单访问浏览,菜单访问 DAG 依赖,菜单访问 DAG 运行,菜单访问文档,菜单访问文档,菜单访问作业,菜单访问审计日志,菜单访问插件,菜单访问 SLA 漏失,菜单访问任务实例,可以在任务实例上创建,可以在任务实例上删除,菜单访问 Admin,菜单访问配置,菜单访问连接,菜单访问池,菜单访问变量,菜单访问 XComs,可以在 XComs 上删除,可以在任务重新调度上读取,菜单访问任务重新调度,可以在触发器上读取,菜单访问触发器,可以在密码上读取,可以在密码上编辑,菜单访问列出用户,菜单访问安全,菜单访问列出角色,可以在用户统计图上读取,菜单访问用户统计,菜单访问基本权限,可以在视图菜单上读取,菜单访问视图/菜单,可以在权限视图上读取,菜单访问视图/菜单上的权限,可以在 MenuApi 上获取,菜单访问提供者,可以在 XComs 上创建]
Op
[可以在连接上删除,可以在连接上读取,可以在连接上编辑,可以在连接上创建,可以在 DAG 上读取,可以在 DAG 上编辑,可以在 DAG 上删除,可以在 DAG 运行上读取,可以在任务实例上读取,可以在任务实例上编辑,可以在 DAG 运行上删除,可以在 DAG 运行上创建,可以在 DAG 运行上编辑,可以在审计日志上读取,可以在导入错误上读取,可以在池上删除,可以在池上读取,可以在池上编辑,可以在池上创建,可以在提供者上读取,可以在变量上删除,可以在变量上读取,可以在变量上编辑,可以在变量上创建,可以在 XComs 上读取,可以在 DAG 代码上读取,可以在配置上读取,可以在插件上读取,可以在 DAG 依赖上读取,可以在作业上读取,可以在我的密码上读取,可以在我的密码上编辑,可以在我的个人资料上读取,可以在我的个人资料上编辑,可以在 SLA 漏失上读取,可以在任务日志上读取,可以在网站上读取,菜单访问浏览,菜单访问 DAG 依赖,菜单访问 DAG 运行,菜单访问文档,菜单访问文档,菜单访问作业,菜单访问审计日志,菜单访问插件,菜单访问 SLA 漏失,菜单访问任务实例,可以在任务实例上创建,可以在任务实例上删除,菜单访问 Admin,菜单访问配置,菜单访问连接,菜单访问池,菜单访问变量,菜单访问 XComs,可以在 XComs 上删除]
User
[可以在 DAG 上读取,可以在 DAG 上编辑,可以在 DAG 上删除,可以在 DAG 运行上读取,可以在任务实例上读取,可以在任务实例上编辑,可以在 DAG 运行上删除,可以在 DAG 运行上创建,可以在 DAG 运行上编辑,可以在审计日志上读取,可以在导入错误上读取,可以在 XComs 上读取,可以在 DAG 代码上读取,可以在插件上读取,可以在 DAG 依赖上读取,可以在作业上读取,可以在我的密码上读取,可以在我的密码上编辑,可以在我的个人资料上读取,可以在我的个人资料上编辑,可以在 SLA 漏失上读取,可以在任务日志上读取,可以在网站上读取,菜单访问浏览,菜单访问 DAG 依赖,菜单访问 DAG 运行,菜单访问文档,菜单访问文档,菜单访问作业,菜单访问审计日志,菜单访问插件,菜单访问 SLA 漏失,菜单访问任务实例,可以在任务实例上创建,可以在任务实例上删除]
Viewer
[可以在 DAG 上读取,可以在 DAG 运行上读取,可以在任务实例上读取,可以在审计日志上读取,可以在导入错误上读取,可以在 XComs 上读取,可以在 DAG 代码上读取,可以在插件上读取,可以在 DAG 依赖上读取,可以在作业上读取,可以在我的密码上读取,可以在我的密码上编辑,可以在我的个人资料上读取,可以在我的个人资料上编辑,可以在 SLA 漏失上读取,可以在任务日志上读取,可以在网站上读取,菜单访问浏览,菜单访问 DAG 依赖,菜单访问 DAG 运行,菜单访问文档,菜单访问文档,菜单访问作业,菜单访问审计日志,菜单访问插件,菜单访问 SLA 漏失,菜单访问任务实例]
Public
[]
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)