Airflow RBAC

Support HackTricks

RBAC

(Do docs)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: O Airflow vem com um conjunto de funções por padrão: Admin, User, Op, Viewer e Public. Apenas usuários Admin podem configurar/alterar as permissões para outras funções. Mas não é recomendado que usuários Admin alterem essas funções padrão de qualquer forma, removendo ou adicionando permissões a essas funções.

  • Usuários Admin têm todas as permissões possíveis.

  • Usuários Public (anônimos) não têm nenhuma permissão.

  • Usuários Viewer têm permissões limitadas de visualização (apenas leitura). Não podem ver a configuração.

  • Usuários User têm permissões de Viewer mais permissões adicionais de usuário que permitem gerenciar DAGs um pouco. Ele pode ver o arquivo de configuração.

  • Usuários Op têm permissões de User mais permissões adicionais de operação.

Note que usuários admin podem criar mais funções com mais permissões granulares.

Além disso, note que a única função padrão com permissão para listar usuários e funções é Admin, nem mesmo Op poderá fazer isso.

Permissões Padrão

Estas são as permissões padrão por função padrão:

  • Admin

[pode deletar em Conexões, pode ler em Conexões, pode editar em Conexões, pode criar em Conexões, pode ler em DAGs, pode editar em DAGs, pode deletar em DAGs, pode ler em Execuções de DAG, pode ler em Instâncias de Tarefa, pode editar em Instâncias de Tarefa, pode deletar em Execuções de DAG, pode criar em Execuções de DAG, pode editar em Execuções de DAG, pode ler em Logs de Auditoria, pode ler em ImportError, pode deletar em Pools, pode ler em Pools, pode editar em Pools, pode criar em Pools, pode ler em Provedores, pode deletar em Variáveis, pode ler em Variáveis, pode editar em Variáveis, pode criar em Variáveis, pode ler em XComs, pode ler em Código de DAG, pode ler em Configurações, pode ler em Plugins, pode ler em Funções, pode ler em Permissões, pode deletar em Funções, pode editar em Funções, pode criar em Funções, pode ler em Usuários, pode criar em Usuários, pode editar em Usuários, pode deletar em Usuários, pode ler em Dependências de DAG, pode ler em Jobs, pode ler em Minha Senha, pode editar em Minha Senha, pode ler em Meu Perfil, pode editar em Meu Perfil, pode ler em SLA Perdidas, pode ler em Logs de Tarefa, pode ler em Website, acesso ao menu em Navegar, acesso ao menu em Dependências de DAG, acesso ao menu em Execuções de DAG, acesso ao menu em Documentação, acesso ao menu em Docs, acesso ao menu em Jobs, acesso ao menu em Logs de Auditoria, acesso ao menu em Plugins, acesso ao menu em SLA Perdidas, acesso ao menu em Instâncias de Tarefa, pode criar em Instâncias de Tarefa, pode deletar em Instâncias de Tarefa, acesso ao menu em Admin, acesso ao menu em Configurações, acesso ao menu em Conexões, acesso ao menu em Pools, acesso ao menu em Variáveis, acesso ao menu em XComs, pode deletar em XComs, pode ler em Reprogramações de Tarefa, acesso ao menu em Reprogramações de Tarefa, pode ler em Gatilhos, acesso ao menu em Gatilhos, pode ler em Senhas, pode editar em Senhas, acesso ao menu em Listar Usuários, acesso ao menu em Segurança, acesso ao menu em Listar Funções, pode ler em Gráfico de Estatísticas de Usuário, acesso ao menu em Estatísticas do Usuário, acesso ao menu em Permissões Básicas, pode ler em Ver Menus, acesso ao menu em Visões/Menus, pode ler em Visões de Permissão, acesso ao menu em Permissão em Visões/Menus, pode obter em MenuApi, acesso ao menu em Provedores, pode criar em XComs]

  • Op

[pode deletar em Conexões, pode ler em Conexões, pode editar em Conexões, pode criar em Conexões, pode ler em DAGs, pode editar em DAGs, pode deletar em DAGs, pode ler em Execuções de DAG, pode ler em Instâncias de Tarefa, pode editar em Instâncias de Tarefa, pode deletar em Execuções de DAG, pode criar em Execuções de DAG, pode editar em Execuções de DAG, pode ler em Logs de Auditoria, pode ler em ImportError, pode deletar em Pools, pode ler em Pools, pode editar em Pools, pode criar em Pools, pode ler em Provedores, pode deletar em Variáveis, pode ler em Variáveis, pode editar em Variáveis, pode criar em Variáveis, pode ler em XComs, pode ler em Código de DAG, pode ler em Configurações, pode ler em Plugins, pode ler em Dependências de DAG, pode ler em Jobs, pode ler em Minha Senha, pode editar em Minha Senha, pode ler em Meu Perfil, pode editar em Meu Perfil, pode ler em SLA Perdidas, pode ler em Logs de Tarefa, pode ler em Website, acesso ao menu em Navegar, acesso ao menu em Dependências de DAG, acesso ao menu em Execuções de DAG, acesso ao menu em Documentação, acesso ao menu em Docs, acesso ao menu em Jobs, acesso ao menu em Logs de Auditoria, acesso ao menu em Plugins, acesso ao menu em SLA Perdidas, acesso ao menu em Instâncias de Tarefa, pode criar em Instâncias de Tarefa, pode deletar em Instâncias de Tarefa, acesso ao menu em Admin, acesso ao menu em Configurações, acesso ao menu em Conexões, acesso ao menu em Pools, acesso ao menu em Variáveis, acesso ao menu em XComs, pode deletar em XComs]

  • User

[pode ler em DAGs, pode editar em DAGs, pode deletar em DAGs, pode ler em Execuções de DAG, pode ler em Instâncias de Tarefa, pode editar em Instâncias de Tarefa, pode deletar em Execuções de DAG, pode criar em Execuções de DAG, pode editar em Execuções de DAG, pode ler em Logs de Auditoria, pode ler em ImportError, pode ler em XComs, pode ler em Código de DAG, pode ler em Plugins, pode ler em Dependências de DAG, pode ler em Jobs, pode ler em Minha Senha, pode editar em Minha Senha, pode ler em Meu Perfil, pode editar em Meu Perfil, pode ler em SLA Perdidas, pode ler em Logs de Tarefa, pode ler em Website, acesso ao menu em Navegar, acesso ao menu em Dependências de DAG, acesso ao menu em Execuções de DAG, acesso ao menu em Documentação, acesso ao menu em Docs, acesso ao menu em Jobs, acesso ao menu em Logs de Auditoria, acesso ao menu em Plugins, acesso ao menu em SLA Perdidas, acesso ao menu em Instâncias de Tarefa, pode criar em Instâncias de Tarefa, pode deletar em Instâncias de Tarefa]

  • Viewer

[pode ler em DAGs, pode ler em Execuções de DAG, pode ler em Instâncias de Tarefa, pode ler em Logs de Auditoria, pode ler em ImportError, pode ler em XComs, pode ler em Código de DAG, pode ler em Plugins, pode ler em Dependências de DAG, pode ler em Jobs, pode ler em Minha Senha, pode editar em Minha Senha, pode ler em Meu Perfil, pode editar em Meu Perfil, pode ler em SLA Perdidas, pode ler em Logs de Tarefa, pode ler em Website, acesso ao menu em Navegar, acesso ao menu em Dependências de DAG, acesso ao menu em Execuções de DAG, acesso ao menu em Documentação, acesso ao menu em Docs, acesso ao menu em Jobs, acesso ao menu em Logs de Auditoria, acesso ao menu em Plugins, acesso ao menu em SLA Perdidas, acesso ao menu em Instâncias de Tarefa]

  • Public

[]

Support HackTricks

Last updated