Airflow RBAC
RBAC
(Iz dokumentacije)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: Airflow dolazi sa setom uloga po default-u: Admin, User, Op, Viewer, i Public. Samo Admin
korisnici mogu konfigurisati/izmeniti dozvole za druge uloge. Međutim, nije preporučljivo da Admin
korisnici menjaju ove podrazumevane uloge na bilo koji način, uklanjanjem ili dodavanjem dozvola ovim ulogama.
Admin
korisnici imaju sve moguće dozvole.Public
korisnici (anonimni) nemaju nikakve dozvole.Viewer
korisnici imaju ograničene dozvole za pregled (samo čitanje). Ne mogu videti konfiguraciju.User
korisnici imajuViewer
dozvole plus dodatne korisničke dozvole koje im omogućavaju da malo upravljaju DAG-ovima. Oni mogu videti konfiguracioni fajl.Op
korisnici imajuUser
dozvole plus dodatne operativne dozvole.
Napomena da admin korisnici mogu kreirati više uloga sa više detaljnih dozvola.
Takođe, napomena da jedina podrazumevana uloga sa dozvolom za listanje korisnika i uloga je Admin, čak ni Op neće biti u mogućnosti da to uradi.
Podrazumevane Dozvole
Ovo su podrazumevane dozvole po podrazumevanoj ulozi:
Admin
[može brisati konekcije, može čitati konekcije, može izmeniti konekcije, može kreirati konekcije, može čitati DAG-ove, može izmeniti DAG-ove, može brisati DAG-ove, može čitati DAG pokretanja, može čitati instance zadataka, može izmeniti instance zadataka, može brisati DAG pokretanja, može kreirati DAG pokretanja, može izmeniti DAG pokretanja, može čitati evidenciju audit logova, može čitati ImportError, može brisati bazene, može čitati bazene, može izmeniti bazene, može kreirati bazene, može čitati provajdere, može brisati promenljive, može čitati promenljive, može izmeniti promenljive, može kreirati promenljive, može čitati XComs, može čitati DAG kod, može čitati konfiguracije, može čitati dodatke, može čitati zavisnosti DAG-ova, može čitati poslove, može čitati moju lozinku, može izmeniti moju lozinku, može čitati moj profil, može izmeniti moj profil, može čitati SLA propuste, može čitati evidenciju zadataka, može čitati veb sajt, pristup meniju za pregled, pristup meniju za zavisnosti DAG-ova, pristup meniju za pokretanja DAG-ova, pristup meniju za dokumentaciju, pristup meniju za dokumente, pristup meniju za poslove, pristup meniju za evidenciju audit logova, pristup meniju za dodatke, pristup meniju za SLA propuste, pristup meniju za instance zadataka, može kreirati instance zadataka, može brisati instance zadataka, pristup meniju za administraciju, pristup meniju za konfiguracije, pristup meniju za konekcije, pristup meniju za bazene, pristup meniju za promenljive, pristup meniju za XComs, može brisati XComs, može čitati rezervacije zadataka, pristup meniju za rezervacije zadataka, može čitati okidače, pristup meniju za okidače, može čitati lozinke, može izmeniti lozinke, pristup meniju za listanje korisnika, pristup meniju za bezbednost, pristup meniju za listanje uloga, može čitati statistiku korisnika, pristup meniju za statistiku korisnika, pristup meniju za osnovne dozvole, može čitati prikaze menija, pristup meniju za prikaze/menije, može čitati prikaze dozvola, pristup meniju za dozvole na prikazima/menijima, može dobiti na MenuApi, pristup meniju za provajdere, može kreirati XComs]
Op
[može brisati konekcije, može čitati konekcije, može izmeniti konekcije, može kreirati konekcije, može čitati DAG-ove, može izmeniti DAG-ove, može brisati DAG-ove, može čitati DAG pokretanja, može čitati instance zadataka, može izmeniti instance zadataka, može brisati DAG pokretanja, može kreirati DAG pokretanja, može izmeniti DAG pokretanja, može čitati evidenciju audit logova, može čitati ImportError, može brisati bazene, može čitati bazene, može izmeniti bazene, može kreirati bazene, može čitati provajdere, može brisati promenljive, može čitati promenljive, može izmeniti promenljive, može kreirati promenljive, može čitati XComs, može čitati DAG kod, može čitati konfiguracije, može čitati dodatke, može čitati zavisnosti DAG-ova, može čitati poslove, može čitati moju lozinku, može izmeniti moju lozinku,
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite me na Twitteru 🐦 @hacktricks_live.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Last updated