Airflow RBAC
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
(De la documentación)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: Airflow se envía con un conjunto de roles por defecto: Admin, User, Op, Viewer, y Public. Solo los usuarios Admin
pueden configurar/alterar los permisos para otros roles. Pero no se recomienda que los usuarios Admin
alteren estos roles predeterminados de ninguna manera, eliminando o agregando permisos a estos roles.
Los usuarios Admin
tienen todos los permisos posibles.
Los usuarios Public
(anónimos) no tienen ningún permiso.
Los usuarios Viewer
tienen permisos limitados de visualización (solo lectura). No pueden ver la configuración.
Los usuarios User
tienen permisos de Viewer
más permisos adicionales que les permiten gestionar DAGs un poco. Pueden ver el archivo de configuración.
Los usuarios Op
tienen permisos de User
más permisos adicionales de operación.
Ten en cuenta que los usuarios admin pueden crear más roles con más permisos granulares.
También ten en cuenta que el único rol predeterminado con permiso para listar usuarios y roles es Admin, ni siquiera Op podrá hacer eso.
Estos son los permisos predeterminados por rol predeterminado:
Admin
[puede eliminar en Conexiones, puede leer en Conexiones, puede editar en Conexiones, puede crear en Conexiones, puede leer en DAGs, puede editar en DAGs, puede eliminar en DAGs, puede leer en Ejecuciones de DAG, puede leer en Instancias de Tarea, puede editar en Instancias de Tarea, puede eliminar en Ejecuciones de DAG, puede crear en Ejecuciones de DAG, puede editar en Ejecuciones de DAG, puede leer en Registros de Auditoría, puede leer en ImportError, puede eliminar en Grupos, puede leer en Grupos, puede editar en Grupos, puede crear en Grupos, puede leer en Proveedores, puede eliminar en Variables, puede leer en Variables, puede editar en Variables, puede crear en Variables, puede leer en XComs, puede leer en Código de DAG, puede leer en Configuraciones, puede leer en Plugins, puede leer en Roles, puede leer en Permisos, puede eliminar en Roles, puede editar en Roles, puede crear en Roles, puede leer en Usuarios, puede crear en Usuarios, puede editar en Usuarios, puede eliminar en Usuarios, puede leer en Dependencias de DAG, puede leer en Trabajos, puede leer en Mi Contraseña, puede editar en Mi Contraseña, puede leer en Mi Perfil, puede editar en Mi Perfil, puede leer en SLA Misses, puede leer en Registros de Tarea, puede leer en Sitio Web, acceso al menú en Navegar, acceso al menú en Dependencias de DAG, acceso al menú en Ejecuciones de DAG, acceso al menú en Documentación, acceso al menú en Docs, acceso al menú en Trabajos, acceso al menú en Registros de Auditoría, acceso al menú en Plugins, acceso al menú en SLA Misses, acceso al menú en Instancias de Tarea, puede crear en Instancias de Tarea, puede eliminar en Instancias de Tarea, acceso al menú en Admin, acceso al menú en Configuraciones, acceso al menú en Conexiones, acceso al menú en Grupos, acceso al menú en Variables, acceso al menú en XComs, puede eliminar en XComs, puede leer en Reprogramaciones de Tarea, acceso al menú en Reprogramaciones de Tarea, puede leer en Disparadores, acceso al menú en Disparadores, puede leer en Contraseñas, puede editar en Contraseñas, acceso al menú en Listar Usuarios, acceso al menú en Seguridad, acceso al menú en Listar Roles, puede leer en Gráfico de Estadísticas de Usuario, acceso al menú en Estadísticas de Usuario, acceso al menú en Permisos Base, puede leer en Ver Menús, acceso al menú en Vistas/Menús, puede leer en Vistas de Permisos, acceso al menú en Permisos en Vistas/Menús, puede obtener en MenuApi, acceso al menú en Proveedores, puede crear en XComs]
Op
[puede eliminar en Conexiones, puede leer en Conexiones, puede editar en Conexiones, puede crear en Conexiones, puede leer en DAGs, puede editar en DAGs, puede eliminar en DAGs, puede leer en Ejecuciones de DAG, puede leer en Instancias de Tarea, puede editar en Instancias de Tarea, puede eliminar en Ejecuciones de DAG, puede crear en Ejecuciones de DAG, puede editar en Ejecuciones de DAG, puede leer en Registros de Auditoría, puede leer en ImportError, puede eliminar en Grupos, puede leer en Grupos, puede editar en Grupos, puede crear en Grupos, puede leer en Proveedores, puede eliminar en Variables, puede leer en Variables, puede editar en Variables, puede crear en Variables, puede leer en XComs, puede leer en Código de DAG, puede leer en Configuraciones, puede leer en Plugins, puede leer en Dependencias de DAG, puede leer en Trabajos, puede leer en Mi Contraseña, puede editar en Mi Contraseña, puede leer en Mi Perfil, puede editar en Mi Perfil, puede leer en SLA Misses, puede leer en Registros de Tarea, puede leer en Sitio Web, acceso al menú en Navegar, acceso al menú en Dependencias de DAG, acceso al menú en Ejecuciones de DAG, acceso al menú en Documentación, acceso al menú en Docs, acceso al menú en Trabajos, acceso al menú en Registros de Auditoría, acceso al menú en Plugins, acceso al menú en SLA Misses, acceso al menú en Instancias de Tarea, puede crear en Instancias de Tarea, puede eliminar en Instancias de Tarea, acceso al menú en Admin, acceso al menú en Configuraciones, acceso al menú en Conexiones, acceso al menú en Grupos, acceso al menú en Variables, acceso al menú en XComs, puede eliminar en XComs]
User
[puede leer en DAGs, puede editar en DAGs, puede eliminar en DAGs, puede leer en Ejecuciones de DAG, puede leer en Instancias de Tarea, puede editar en Instancias de Tarea, puede eliminar en Ejecuciones de DAG, puede crear en Ejecuciones de DAG, puede editar en Ejecuciones de DAG, puede leer en Registros de Auditoría, puede leer en ImportError, puede leer en XComs, puede leer en Código de DAG, puede leer en Plugins, puede leer en Dependencias de DAG, puede leer en Trabajos, puede leer en Mi Contraseña, puede editar en Mi Contraseña, puede leer en Mi Perfil, puede editar en Mi Perfil, puede leer en SLA Misses, puede leer en Registros de Tarea, puede leer en Sitio Web, acceso al menú en Navegar, acceso al menú en Dependencias de DAG, acceso al menú en Ejecuciones de DAG, acceso al menú en Documentación, acceso al menú en Docs, acceso al menú en Trabajos, acceso al menú en Registros de Auditoría, acceso al menú en Plugins, acceso al menú en SLA Misses, acceso al menú en Instancias de Tarea, puede crear en Instancias de Tarea, puede eliminar en Instancias de Tarea]
Viewer
[puede leer en DAGs, puede leer en Ejecuciones de DAG, puede leer en Instancias de Tarea, puede leer en Registros de Auditoría, puede leer en ImportError, puede leer en XComs, puede leer en Código de DAG, puede leer en Plugins, puede leer en Dependencias de DAG, puede leer en Trabajos, puede leer en Mi Contraseña, puede editar en Mi Contraseña, puede leer en Mi Perfil, puede editar en Mi Perfil, puede leer en SLA Misses, puede leer en Registros de Tarea, puede leer en Sitio Web, acceso al menú en Navegar, acceso al menú en Dependencias de DAG, acceso al menú en Ejecuciones de DAG, acceso al menú en Documentación, acceso al menú en Docs, acceso al menú en Trabajos, acceso al menú en Registros de Auditoría, acceso al menú en Plugins, acceso al menú en SLA Misses, acceso al menú en Instancias de Tarea]
Public
[]
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)