Airflow RBAC

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

RBAC

(З документації)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: Airflow постачається з набором ролей за замовчуванням: Admin, User, Op, Viewer та Public. Тільки користувачі Admin можуть налаштовувати/змінювати дозволи для інших ролей. Але не рекомендується, щоб користувачі Admin змінювали ці стандартні ролі будь-яким чином, видаляючи або додаючи дозволи до цих ролей.

Користувачі Admin мають усі можливі дозволи.
Користувачі Public (анонімні) не мають жодних дозволів.
Користувачі Viewer мають обмежені дозволи перегляду (тільки читання). Вони не можуть бачити конфігурацію.
Користувачі User мають дозволи Viewer плюс додаткові дозволи користувача, які дозволяють їм трохи керувати DAG. Вони можуть бачити конфігураційний файл.
Користувачі Op мають дозволи User плюс додаткові дозволи оператора.

Зверніть увагу, що користувачі admin можуть створювати більше ролей з більш детальними дозволами.

Також зверніть увагу, що єдина роль за замовчуванням з дозволом на перегляд користувачів і ролей - це Admin, навіть Op не зможе цього зробити.

Дозволи за замовчуванням

Це дозволи за замовчуванням для кожної ролі за замовчуванням:

Admin

[може видаляти з Connections, може читати з Connections, може редагувати з Connections, може створювати з Connections, може читати з DAGs, може редагувати з DAGs, може видаляти з DAGs, може читати з DAG Runs, може читати з Task Instances, може редагувати з Task Instances, може видаляти з DAG Runs, може створювати з DAG Runs, може редагувати з DAG Runs, може читати з Audit Logs, може читати з ImportError, може видаляти з Pools, може читати з Pools, може редагувати з Pools, може створювати з Pools, може читати з Providers, може видаляти з Variables, може читати з Variables, може редагувати з Variables, може створювати з Variables, може читати з XComs, може читати з DAG Code, може читати з Configurations, може читати з Plugins, може читати з Roles, може читати з Permissions, може видаляти з Roles, може редагувати з Roles, може створювати з Roles, може читати з Users, може створювати з Users, може редагувати з Users, може видаляти з Users, може читати з DAG Dependencies, може читати з Jobs, може читати з My Password, може редагувати з My Password, може читати з My Profile, може редагувати з My Profile, може читати з SLA Misses, може читати з Task Logs, може читати з Website, доступ до меню на Browse, доступ до меню на DAG Dependencies, доступ до меню на DAG Runs, доступ до меню на Documentation, доступ до меню на Docs, доступ до меню на Jobs, доступ до меню на Audit Logs, доступ до меню на Plugins, доступ до меню на SLA Misses, доступ до меню на Task Instances, може створювати з Task Instances, може видаляти з Task Instances, доступ до меню на Admin, доступ до меню на Configurations, доступ до меню на Connections, доступ до меню на Pools, доступ до меню на Variables, доступ до меню на XComs, може видаляти з XComs, може читати з Task Reschedules, доступ до меню на Task Reschedules, може читати з Triggers, доступ до меню на Triggers, може читати з Passwords, може редагувати з Passwords, доступ до меню на List Users, доступ до меню на Security, доступ до меню на List Roles, може читати з User Stats Chart, доступ до меню на User's Statistics, доступ до меню на Base Permissions, може читати з View Menus, доступ до меню на Views/Menus, може читати з Permission Views, доступ до меню на Permission on Views/Menus, може отримувати з MenuApi, доступ до меню на Providers, може створювати з XComs]

User

[може читати з DAGs, може редагувати з DAGs, може видаляти з DAGs, може читати з DAG Runs, може читати з Task Instances, може редагувати з Task Instances, може видаляти з DAG Runs, може створювати з DAG Runs, може редагувати з DAG Runs, може читати з Audit Logs, може читати з ImportError, може читати з XComs, може читати з DAG Code, може читати з Plugins, може читати з DAG Dependencies, може читати з Jobs, може читати з My Password, може редагувати з My Password, може читати з My Profile, може редагувати з My Profile, може читати з SLA Misses, може читати з Task Logs, може читати з Website, доступ до меню на Browse, доступ до меню на DAG Dependencies, доступ до меню на DAG Runs, доступ до меню на Documentation, доступ до меню на Docs, доступ до меню на Jobs, доступ до меню на Audit Logs, доступ до меню на Plugins, доступ до меню на SLA Misses, доступ до меню на Task Instances, може створювати з Task Instances, може видаляти з Task Instances]

Viewer

[може читати з DAGs, може читати з DAG Runs, може читати з Task Instances, може читати з Audit Logs, може читати з ImportError, може читати з XComs, може читати з DAG Code, може читати з Plugins, може читати з DAG Dependencies, може читати з Jobs, може читати з My Password, може редагувати з My Password, може читати з My Profile, може редагувати з My Profile, може читати з SLA Misses, може читати з Task Logs, може читати з Website, доступ до меню на Browse, доступ до меню на DAG Dependencies, доступ до меню на DAG Runs, доступ до меню на Documentation, доступ до меню на Docs, доступ до меню на Jobs, доступ до меню на Audit Logs, доступ до меню на Plugins, доступ до меню на SLA Misses, доступ до меню на Task Instances]

Public

[]

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAirflow Configuration NextTerraform Security

Last updated 1 month ago