Airflow RBAC

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się sztuczkami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na GitHubie.

RBAC

(Z dokumentacji)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: Airflow dostarczany jest z domyślnym zestawem ról: Admin, User, Op, Viewer i Public. Tylko użytkownicy Admin mogą konfigurować/zmieniać uprawnienia dla innych ról. Jednak nie zaleca się, aby użytkownicy Admin w jakikolwiek sposób zmieniali te domyślne role, usuwając lub dodając uprawnienia do tych ról.

Użytkownicy Admin mają wszystkie możliwe uprawnienia.
Użytkownicy Public (anonimowi) nie mają żadnych uprawnień.
Użytkownicy Viewer mają ograniczone uprawnienia do przeglądania (tylko do odczytu). Nie mogą zobaczyć konfiguracji.
Użytkownicy User mają uprawnienia Viewer oraz dodatkowe uprawnienia użytkownika, które pozwalają im zarządzać DAG-ami w pewnym zakresie. Mogą zobaczyć plik konfiguracyjny.
Użytkownicy Op mają uprawnienia User oraz dodatkowe uprawnienia operacyjne.

Zauważ, że użytkownicy admin mogą tworzyć więcej ról z bardziej szczegółowymi uprawnieniami.

Zauważ również, że jedyną domyślną rolą z uprawnieniem do wyświetlania użytkowników i ról jest Admin, nawet Op nie będzie w stanie tego zrobić.

Domyślne Uprawnienia

Oto domyślne uprawnienia dla domyślnej roli:

Admin

[może usuwać w Connections, może czytać w Connections, może edytować w Connections, może tworzyć w Connections, może czytać w DAGs, może edytować w DAGs, może usuwać w DAGs, może czytać w DAG Runs, może czytać w Task Instances, może edytować w Task Instances, może usuwać w DAG Runs, może tworzyć w DAG Runs, może edytować w DAG Runs, może czytać w Audit Logs, może czytać w ImportError, może usuwać w Pools, może czytać w Pools, może edytować w Pools, może tworzyć w Pools, może czytać w Providers, może usuwać w Variables, może czytać w Variables, może edytować w Variables, może tworzyć w Variables, może czytać w XComs, może czytać w DAG Code, może czytać w Configurations, może czytać w Plugins, może czytać w Roles, może czytać w Permissions, może usuwać w Roles, może edytować w Roles, może tworzyć w Roles, może czytać w Users, może tworzyć w Users, może edytować w Users, może usuwać w Users, może czytać w DAG Dependencies, może czytać w Jobs, może czytać w My Password, może edytować w My Password, może czytać w My Profile, może edytować w My Profile, może czytać w SLA Misses, może czytać w Task Logs, może czytać w Website, dostęp do menu w Browse, dostęp do menu w DAG Dependencies, dostęp do menu w DAG Runs, dostęp do menu w Documentation, dostęp do menu w Docs, dostęp do menu w Jobs, dostęp do menu w Audit Logs, dostęp do menu w Plugins, dostęp do menu w SLA Misses, dostęp do menu w Task Instances, może tworzyć w Task Instances, może usuwać w Task Instances, dostęp do menu w Admin, dostęp do menu w Configurations, dostęp do menu w Connections, dostęp do menu w Pools, dostęp do menu w Variables, dostęp do menu w XComs, może usuwać w XComs, może czytać w Task Reschedules, dostęp do menu w Task Reschedules, może czytać w Triggers, dostęp do menu w Triggers, może czytać w Passwords, może edytować w Passwords, dostęp do menu w List Users, dostęp do menu w Security, dostęp do menu w List Roles, może czytać w User Stats Chart, dostęp do menu w User's Statistics, dostęp do menu w Base Permissions, może czytać w View Menus, dostęp do menu w Views/Menus, może czytać w Permission Views, dostęp do menu w Permission on Views/Menus, może uzyskać dostęp do MenuApi, dostęp do menu w Providers, może tworzyć w XComs]

User

[może czytać w DAGs, może edytować w DAGs, może usuwać w DAGs, może czytać w DAG Runs, może czytać w Task Instances, może edytować w Task Instances, może usuwać w DAG Runs, może tworzyć w DAG Runs, może edytować w DAG Runs, może czytać w Audit Logs, może czytać w ImportError, może czytać w XComs, może czytać w DAG Code, może czytać w Plugins, może czytać w DAG Dependencies, może czytać w Jobs, może czytać w My Password, może edytować w My Password, może czytać w My Profile, może edytować w My Profile, może czytać w SLA Misses, może czytać w Task Logs, może czytać w Website, dostęp do menu w Browse, dostęp do menu w DAG Dependencies, dostęp do menu w DAG Runs, dostęp do menu w Documentation, dostęp do menu w Docs, dostęp do menu w Jobs, dostęp do menu w Audit Logs, dostęp do menu w Plugins, dostęp do menu w SLA Misses, dostęp do menu w Task Instances, może tworzyć w Task Instances, może usuwać w Task Instances]

Viewer

[może czytać w DAGs, może czytać w DAG Runs, może czytać w Task Instances, może czytać w Audit Logs, może czytać w ImportError, może czytać w XComs, może czytać w DAG Code, może czytać w Plugins, może czytać w DAG Dependencies, może czytać w Jobs, może czytać w My Password, może edytować w My Password, może czytać w My Profile, może edytować w My Profile, może czytać w SLA Misses, może czytać w Task Logs, może czytać w Website, dostęp do menu w Browse, dostęp do menu w DAG Dependencies, dostęp do menu w DAG Runs, dostęp do menu w Documentation, dostęp do menu w Docs, dostęp do menu w Jobs, dostęp do menu w Audit Logs, dostęp do menu w Plugins, dostęp do menu w SLA Misses, dostęp do menu w Task Instances]

Public

[]

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się sztuczkami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na GitHubie.

PreviousAirflow Configuration NextTerraform Security

Last updated 1 month ago