Airflow RBAC
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
(З документації)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: Airflow постачається з набором ролей за замовчуванням: Admin, User, Op, Viewer та Public. Тільки користувачі Admin
можуть налаштовувати/змінювати дозволи для інших ролей. Але не рекомендується, щоб користувачі Admin
змінювали ці стандартні ролі будь-яким чином, видаляючи або додаючи дозволи до цих ролей.
Користувачі Admin
мають усі можливі дозволи.
Користувачі Public
(анонімні) не мають жодних дозволів.
Користувачі Viewer
мають обмежені дозволи перегляду (тільки читання). Вони не можуть бачити конфігурацію.
Користувачі User
мають дозволи Viewer
плюс додаткові дозволи користувача, які дозволяють їм трохи керувати DAG. Вони можуть бачити конфігураційний файл.
Користувачі Op
мають дозволи User
плюс додаткові дозволи оператора.
Зверніть увагу, що користувачі admin можуть створювати більше ролей з більш детальними дозволами.
Також зверніть увагу, що єдина стандартна роль з дозволом на перегляд користувачів і ролей - це Admin, навіть Op не зможе цього зробити.
Це стандартні дозволи для стандартних ролей:
Admin
[може видаляти в Connections, може читати в Connections, може редагувати в Connections, може створювати в Connections, може читати в DAGs, може редагувати в DAGs, може видаляти в DAGs, може читати в DAG Runs, може читати в Task Instances, може редагувати в Task Instances, може видаляти в DAG Runs, може створювати в DAG Runs, може редагувати в DAG Runs, може читати в Audit Logs, може читати в ImportError, може видаляти в Pools, може читати в Pools, може редагувати в Pools, може створювати в Pools, може читати в Providers, може видаляти в Variables, може читати в Variables, може редагувати в Variables, може створювати в Variables, може читати в XComs, може читати в DAG Code, може читати в Configurations, може читати в Plugins, може читати в Roles, може читати в Permissions, може видаляти в Roles, може редагувати в Roles, може створювати в Roles, може читати в Users, може створювати в Users, може редагувати в Users, може видаляти в Users, може читати в DAG Dependencies, може читати в Jobs, може читати в My Password, може редагувати в My Password, може читати в My Profile, може редагувати в My Profile, може читати в SLA Misses, може читати в Task Logs, може читати в Website, доступ до меню на Browse, доступ до меню на DAG Dependencies, доступ до меню на DAG Runs, доступ до меню на Documentation, доступ до меню на Docs, доступ до меню на Jobs, доступ до меню на Audit Logs, доступ до меню на Plugins, доступ до меню на SLA Misses, доступ до меню на Task Instances, може створювати в Task Instances, може видаляти в Task Instances, доступ до меню на Admin, доступ до меню на Configurations, доступ до меню на Connections, доступ до меню на Pools, доступ до меню на Variables, доступ до меню на XComs, може видаляти в XComs, може читати в Task Reschedules, доступ до меню на Task Reschedules, може читати в Triggers, доступ до меню на Triggers, може читати в Passwords, може редагувати в Passwords, доступ до меню на List Users, доступ до меню на Security, доступ до меню на List Roles, може читати в User Stats Chart, доступ до меню на User's Statistics, доступ до меню на Base Permissions, може читати в View Menus, доступ до меню на Views/Menus, може читати в Permission Views, доступ до меню на Permission on Views/Menus, може отримувати на MenuApi, доступ до меню на Providers, може створювати в XComs]
Op
[може видаляти в Connections, може читати в Connections, може редагувати в Connections, може створювати в Connections, може читати в DAGs, може редагувати в DAGs, може видаляти в DAGs, може читати в DAG Runs, може читати в Task Instances, може редагувати в Task Instances, може видаляти в DAG Runs, може створювати в DAG Runs, може редагувати в DAG Runs, може читати в Audit Logs, може читати в ImportError, може видаляти в Pools, може читати в Pools, може редагувати в Pools, може створювати в Pools, може читати в Providers, може видаляти в Variables, може читати в Variables, може редагувати в Variables, може створювати в Variables, може читати в XComs, може читати в DAG Code, може читати в Configurations, може читати в Plugins, може читати в DAG Dependencies, може читати в Jobs, може читати в My Password, може редагувати в My Password, може читати в My Profile, може редагувати в My Profile, може читати в SLA Misses, може читати в Task Logs, може читати в Website, доступ до меню на Browse, доступ до меню на DAG Dependencies, доступ до меню на DAG Runs, доступ до меню на Documentation, доступ до меню на Docs, доступ до меню на Jobs, доступ до меню на Audit Logs, доступ до меню на Plugins, доступ до меню на SLA Misses, доступ до меню на Task Instances, може створювати в Task Instances, може видаляти в Task Instances, доступ до меню на Admin, доступ до меню на Configurations, доступ до меню на Connections, доступ до меню на Pools, доступ до меню на Variables, доступ до меню на XComs, може видаляти в XComs]
User
[може читати в DAGs, може редагувати в DAGs, може видаляти в DAGs, може читати в DAG Runs, може читати в Task Instances, може редагувати в Task Instances, може видаляти в DAG Runs, може створювати в DAG Runs, може редагувати в DAG Runs, може читати в Audit Logs, може читати в ImportError, може читати в XComs, може читати в DAG Code, може читати в Plugins, може читати в DAG Dependencies, може читати в Jobs, може читати в My Password, може редагувати в My Password, може читати в My Profile, може редагувати в My Profile, може читати в SLA Misses, може читати в Task Logs, може читати в Website, доступ до меню на Browse, доступ до меню на DAG Dependencies, доступ до меню на DAG Runs, доступ до меню на Documentation, доступ до меню на Docs, доступ до меню на Jobs, доступ до меню на Audit Logs, доступ до меню на Plugins, доступ до меню на SLA Misses, доступ до меню на Task Instances, може створювати в Task Instances, може видаляти в Task Instances]
Viewer
[може читати в DAGs, може читати в DAG Runs, може читати в Task Instances, може читати в Audit Logs, може читати в ImportError, може читати в XComs, може читати в DAG Code, може читати в Plugins, може читати в DAG Dependencies, може читати в Jobs, може читати в My Password, може редагувати в My Password, може читати в My Profile, може редагувати в My Profile, може читати в SLA Misses, може читати в Task Logs, може читати в Website, доступ до меню на Browse, доступ до меню на DAG Dependencies, доступ до меню на DAG Runs, доступ до меню на Documentation, доступ до меню на Docs, доступ до меню на Jobs, доступ до меню на Audit Logs, доступ до меню на Plugins, доступ до меню на SLA Misses, доступ до меню на Task Instances]
Public
[]
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)