Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
(Von den Dokumenten)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: Airflow wird standardmäßig mit einem Set von Rollen ausgeliefert: Admin, User, Op, Viewer und Public. Nur Admin-Benutzer können die Berechtigungen für andere Rollen konfigurieren/ändern. Es wird jedoch nicht empfohlen, dass Admin-Benutzer diese Standardrollen in irgendeiner Weise ändern, indem sie Berechtigungen für diese Rollen entfernen oder hinzufügen.
Admin-Benutzer haben alle möglichen Berechtigungen.
Public-Benutzer (anonym) haben keine Berechtigungen.
Viewer-Benutzer haben eingeschränkte Ansichtsberechtigungen (nur lesen). Er kann die Konfiguration nicht sehen.
User-Benutzer haben Viewer-Berechtigungen plus zusätzliche Benutzerberechtigungen, die es ihm ermöglichen, DAGs ein wenig zu verwalten. Er kann die Konfigurationsdatei sehen.
Op-Benutzer haben User-Berechtigungen plus zusätzliche Betriebsberechtigungen.
Beachte, dass Admin-Benutzer weitere Rollen mit feineren Berechtigungen erstellen können.
Beachte auch, dass die einzige Standardrolle mit Berechtigung zur Auflistung von Benutzern und Rollen Admin ist, nicht einmal Op wird in der Lage sein, dies zu tun.
Dies sind die Standardberechtigungen pro Standardrolle:
Admin
[kann löschen bei Verbindungen, kann lesen bei Verbindungen, kann bearbeiten bei Verbindungen, kann erstellen bei Verbindungen, kann lesen bei DAGs, kann bearbeiten bei DAGs, kann löschen bei DAGs, kann lesen bei DAG Runs, kann lesen bei Task-Instanzen, kann bearbeiten bei Task-Instanzen, kann löschen bei DAG Runs, kann erstellen bei DAG Runs, kann bearbeiten bei DAG Runs, kann lesen bei Audit-Logs, kann lesen bei ImportError, kann löschen bei Pools, kann lesen bei Pools, kann bearbeiten bei Pools, kann erstellen bei Pools, kann lesen bei Anbietern, kann löschen bei Variablen, kann lesen bei Variablen, kann bearbeiten bei Variablen, kann erstellen bei Variablen, kann lesen bei XComs, kann lesen bei DAG-Code, kann lesen bei Konfigurationen, kann lesen bei Plugins, kann lesen bei Rollen, kann lesen bei Berechtigungen, kann löschen bei Rollen, kann bearbeiten bei Rollen, kann erstellen bei Rollen, kann lesen bei Benutzern, kann erstellen bei Benutzern, kann bearbeiten bei Benutzern, kann löschen bei Benutzern, kann lesen bei DAG-Abhängigkeiten, kann lesen bei Jobs, kann lesen bei Mein Passwort, kann bearbeiten bei Mein Passwort, kann lesen bei Mein Profil, kann bearbeiten bei Mein Profil, kann lesen bei SLA-Verstößen, kann lesen bei Task-Protokollen, kann lesen bei Website, Menüzugang bei Durchsuchen, Menüzugang bei DAG-Abhängigkeiten, Menüzugang bei DAG Runs, Menüzugang bei Dokumentation, Menüzugang bei Docs, Menüzugang bei Jobs, Menüzugang bei Audit-Logs, Menüzugang bei Plugins, Menüzugang bei SLA-Verstößen, Menüzugang bei Task-Instanzen, kann erstellen bei Task-Instanzen, kann löschen bei Task-Instanzen, Menüzugang bei Admin, Menüzugang bei Konfigurationen, Menüzugang bei Verbindungen, Menüzugang bei Pools, Menüzugang bei Variablen, Menüzugang bei XComs, kann löschen bei XComs, kann lesen bei Task-Neuplanungen, Menüzugang bei Task-Neuplanungen, kann lesen bei Triggern, Menüzugang bei Triggern, kann lesen bei Passwörtern, kann bearbeiten bei Passwörtern, Menüzugang bei Benutzer auflisten, Menüzugang bei Sicherheit, Menüzugang bei Rollen auflisten, kann lesen bei Benutzerstatistik-Diagramm, Menüzugang bei Benutzerstatistiken, Menüzugang bei Basisberechtigungen, kann lesen bei Menüansichten, Menüzugang bei Ansichten/Menüs, kann lesen bei Berechtigungsansichten, Menüzugang bei Berechtigungen auf Ansichten/Menüs, kann abrufen bei MenuApi, Menüzugang bei Anbietern, kann erstellen bei XComs]
Op
[kann löschen bei Verbindungen, kann lesen bei Verbindungen, kann bearbeiten bei Verbindungen, kann erstellen bei Verbindungen, kann lesen bei DAGs, kann bearbeiten bei DAGs, kann löschen bei DAGs, kann lesen bei DAG Runs, kann lesen bei Task-Instanzen, kann bearbeiten bei Task-Instanzen, kann löschen bei DAG Runs, kann erstellen bei DAG Runs, kann bearbeiten bei DAG Runs, kann lesen bei Audit-Logs, kann lesen bei ImportError, kann löschen bei Pools, kann lesen bei Pools, kann bearbeiten bei Pools, kann erstellen bei Pools, kann lesen bei Anbietern, kann löschen bei Variablen, kann lesen bei Variablen, kann bearbeiten bei Variablen, kann erstellen bei Variablen, kann lesen bei XComs, kann lesen bei DAG-Code, kann lesen bei Konfigurationen, kann lesen bei Plugins, kann lesen bei DAG-Abhängigkeiten, kann lesen bei Jobs, kann lesen bei Mein Passwort, kann bearbeiten bei Mein Passwort, kann lesen bei Mein Profil, kann bearbeiten bei Mein Profil, kann lesen bei SLA-Verstößen, kann lesen bei Task-Protokollen, kann lesen bei Website, Menüzugang bei Durchsuchen, Menüzugang bei DAG-Abhängigkeiten, Menüzugang bei DAG Runs, Menüzugang bei Dokumentation, Menüzugang bei Docs, Menüzugang bei Jobs, Menüzugang bei Audit-Logs, Menüzugang bei Plugins, Menüzugang bei SLA-Verstößen, Menüzugang bei Task-Instanzen, kann erstellen bei Task-Instanzen, kann löschen bei Task-Instanzen, Menüzugang bei Admin, Menüzugang bei Konfigurationen, Menüzugang bei Verbindungen, Menüzugang bei Pools, Menüzugang bei Variablen, Menüzugang bei XComs, kann löschen bei XComs]
User
[kann lesen bei DAGs, kann bearbeiten bei DAGs, kann löschen bei DAGs, kann lesen bei DAG Runs, kann lesen bei Task-Instanzen, kann bearbeiten bei Task-Instanzen, kann löschen bei DAG Runs, kann erstellen bei DAG Runs, kann bearbeiten bei DAG Runs, kann lesen bei Audit-Logs, kann lesen bei ImportError, kann lesen bei XComs, kann lesen bei DAG-Code, kann lesen bei Plugins, kann lesen bei DAG-Abhängigkeiten, kann lesen bei Jobs, kann lesen bei Mein Passwort, kann bearbeiten bei Mein Passwort, kann lesen bei Mein Profil, kann bearbeiten bei Mein Profil, kann lesen bei SLA-Verstößen, kann lesen bei Task-Protokollen, kann lesen bei Website, Menüzugang bei Durchsuchen, Menüzugang bei DAG-Abhängigkeiten, Menüzugang bei DAG Runs, Menüzugang bei Dokumentation, Menüzugang bei Docs, Menüzugang bei Jobs, Menüzugang bei Audit-Logs, Menüzugang bei Plugins, Menüzugang bei SLA-Verstößen, Menüzugang bei Task-Instanzen, kann erstellen bei Task-Instanzen, kann löschen bei Task-Instanzen]
Viewer
[kann lesen bei DAGs, kann lesen bei DAG Runs, kann lesen bei Task-Instanzen, kann lesen bei Audit-Logs, kann lesen bei ImportError, kann lesen bei XComs, kann lesen bei DAG-Code, kann lesen bei Plugins, kann lesen bei DAG-Abhängigkeiten, kann lesen bei Jobs, kann lesen bei Mein Passwort, kann bearbeiten bei Mein Passwort, kann lesen bei Mein Profil, kann bearbeiten bei Mein Profil, kann lesen bei SLA-Verstößen, kann lesen bei Task-Protokollen, kann lesen bei Website, Menüzugang bei Durchsuchen, Menüzugang bei DAG-Abhängigkeiten, Menüzugang bei DAG Runs, Menüzugang bei Dokumentation, Menüzugang bei Docs, Menüzugang bei Jobs, Menüzugang bei Audit-Logs, Menüzugang bei Plugins, Menüzugang bei SLA-Verstößen, Menüzugang bei Task-Instanzen]
Public
[]
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
