German - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Airflow RBAC

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

RBAC

(Aus den Dokumenten)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: Airflow wird standardmäßig mit einer Reihe von Rollen geliefert: Admin, Benutzer, Op, Viewer und Public. Nur Admin-Benutzer können die Berechtigungen für andere Rollen konfigurieren/ändern. Es wird jedoch nicht empfohlen, dass Admin-Benutzer diese Standardrollen in irgendeiner Weise ändern, indem sie Berechtigungen für diese Rollen entfernen oder hinzufügen.

  • Admin-Benutzer haben alle möglichen Berechtigungen.

  • Public-Benutzer (anonym) haben keine Berechtigungen.

  • Viewer-Benutzer haben eingeschränkte Viewer-Berechtigungen (nur Lesen). Es kann die Konfiguration nicht sehen.

  • Benutzer-Benutzer haben Viewer-Berechtigungen plus zusätzliche Benutzerberechtigungen, die es ihm ermöglichen, DAGs etwas zu verwalten. Er kann die Konfigurationsdatei sehen.

  • Op-Benutzer haben Benutzer-Berechtigungen plus zusätzliche Op-Berechtigungen.

Beachten Sie, dass Admin-Benutzer weitere Rollen mit feineren Berechtigungen erstellen können.

Beachten Sie auch, dass die einzige Standardrolle mit Berechtigung zum Auflisten von Benutzern und Rollen Admin ist, nicht einmal Op wird dazu in der Lage sein.

Standardberechtigungen

Dies sind die Standardberechtigungen pro Standardrolle:

  • Admin

[kann auf Verbindungen löschen, kann auf Verbindungen lesen, kann auf Verbindungen bearbeiten, kann auf Verbindungen erstellen, kann auf DAGs lesen, kann auf DAGs bearbeiten, kann auf DAGs löschen, kann auf DAG-Läufe lesen, kann auf Task-Instanzen lesen, kann auf Task-Instanzen bearbeiten, kann auf DAG-Läufe löschen, kann auf DAG-Läufe erstellen, kann auf DAG-Läufe bearbeiten, kann auf Audit-Logs lesen, kann auf ImportError lesen, kann auf Pools löschen, kann auf Pools lesen, kann auf Pools bearbeiten, kann auf Pools erstellen, kann auf Anbieter lesen, kann auf Variablen löschen, kann auf Variablen lesen, kann auf Variablen bearbeiten, kann auf Variablen erstellen, kann auf XComs lesen, kann auf DAG-Code lesen, kann auf Konfigurationen lesen, kann auf Plugins lesen, kann auf Rollen lesen, kann auf Berechtigungen lesen, kann auf Rollen löschen, kann auf Rollen bearbeiten, kann auf Rollen erstellen, kann auf Benutzer lesen, kann auf Benutzer erstellen, kann auf Benutzer bearbeiten, kann auf Benutzer löschen, kann auf DAG-Abhängigkeiten lesen, kann auf Jobs lesen, kann auf Mein Passwort lesen, kann auf Mein Passwort bearbeiten, kann auf Mein Profil lesen, kann auf Mein Profil bearbeiten, kann auf SLA-Misses lesen, kann auf Task-Logs lesen, kann auf Website lesen, Menüzugriff auf Durchsuchen, Menüzugriff auf DAG-Abhängigkeiten, Menüzugriff auf DAG-Läufe, Menüzugriff auf Dokumentation, Menüzugriff auf Docs, Menüzugriff auf Jobs, Menüzugriff auf Audit-Logs, Menüzugriff auf Plugins, Menüzugriff auf SLA-Misses, Menüzugriff auf Task-Instanzen, kann auf Task-Instanzen erstellen, kann auf Task-Instanzen löschen, Menüzugriff auf Admin, Menüzugriff auf Konfigurationen, Menüzugriff auf Verbindungen, Menüzugriff auf Pools, Menüzugriff auf Variablen, Menüzugriff auf XComs, kann auf XComs löschen, kann auf Task-Neuplanungen lesen, Menüzugriff auf Task-Neuplanungen, kann auf Trigger lesen, Menüzugriff auf Trigger, kann auf Passwörter lesen, kann auf Passwörter bearbeiten, Menüzugriff auf Benutzer auflisten, Menüzugriff auf Sicherheit, Menüzugriff auf Rollen auflisten, kann auf Benutzerstatistikdiagramm lesen, Menüzugriff auf Benutzerstatistiken, Menüzugriff auf Basiseberechtigungen, kann auf Menüs anzeigen lesen, Menüzugriff auf Ansichten/Menüs, kann auf Berechtigungsansichten lesen, Menüzugriff auf Berechtigung auf Ansichten/Menüs, kann auf MenuApi erhalten, Menüzugriff auf Anbieter, kann auf XComs erstellen]

  • Op

[kann auf Verbindungen löschen, kann auf Verbindungen lesen, kann auf Verbindungen bearbeiten, kann auf Verbindungen erstellen, kann auf DAGs lesen, kann auf DAGs bearbeiten, kann auf DAGs löschen, kann auf DAG-Läufe lesen, kann auf Task-Instanzen lesen, kann auf Task-Instanzen bearbeiten, kann auf DAG-Läufe löschen, kann auf DAG-Läufe erstellen, kann auf DAG-Läufe bearbeiten, kann auf Audit-Logs lesen, kann auf ImportError lesen, kann auf Pools löschen, kann auf Pools lesen, kann auf Pools bearbeiten, kann auf Pools erstellen, kann auf Anbieter lesen, kann auf Variablen löschen, kann auf Variablen lesen, kann auf Variablen bearbeiten, kann auf Variablen erstellen, kann auf XComs lesen, kann auf DAG-Code lesen, kann auf Konfigurationen lesen, kann auf Plugins lesen, kann auf DAG-Abhängigkeiten lesen, kann auf Jobs lesen, kann auf Mein Passwort lesen, kann auf Mein Passwort bearbeiten, kann auf Mein Profil lesen, kann auf Mein Profil bearbeiten, kann auf SLA-Misses lesen, kann auf Task-Logs lesen, kann auf Website lesen, Menüzugriff auf Durchsuchen, Menüzugriff auf DAG-Abhängigkeiten, Menüzugriff auf DAG-Läufe, Menüzugriff auf Dokumentation, Menüzugriff auf Docs, Menüzugriff auf Jobs, Menüzugriff auf Audit-Logs, Menüzugriff auf Plugins, Menüzugriff auf SLA-Misses, Menüzugriff auf Task-Instanzen, kann auf Task-Instanzen erstellen, kann auf Task-Instanzen löschen, Menüzugriff auf Admin, Menüzugriff auf Konfigurationen, Menüzugriff auf Verbindungen, Menüzugriff auf Pools, Menüzugriff auf Variablen, Menüzugriff auf XComs, kann auf XComs löschen]

  • Benutzer

[kann auf DAGs lesen, kann auf DAGs bearbeiten, kann auf DAGs löschen, kann auf DAG-Läufe lesen, kann auf Task-Instanzen lesen, kann auf Task-Instanzen bearbeiten, kann auf DAG-Läufe löschen, kann auf DAG-Läufe erstellen, kann auf DAG-Läufe bearbeiten, kann auf Audit-Logs lesen, kann auf ImportError lesen, kann auf XComs lesen, kann auf DAG-Code lesen, kann auf Plugins lesen, kann auf DAG-Abhängigkeiten lesen, kann auf Jobs lesen, kann auf Mein Passwort lesen, kann auf Mein Passwort bearbeiten, kann auf Mein Profil lesen, kann auf Mein Profil bearbeiten, kann auf SLA-Misses lesen, kann auf Task-Logs lesen, kann auf Website lesen, Menüzugriff auf Durchsuchen, Menüzugriff auf DAG-Abhängigkeiten, Menüzugriff auf DAG-Läufe, Menüzugriff auf Dokumentation, Menüzugriff auf Docs, Menüzugriff auf Jobs, Menüzugriff auf Audit-Logs, Menüzugriff auf Plugins, Menüzugriff auf SLA-Misses, Menüzugriff auf Task-Instanzen, kann auf Task-Instanzen erstellen, kann auf Task-Instanzen löschen]

  • Viewer

[kann auf DAGs lesen, kann auf DAG-Läufe lesen, kann auf Task-Instanzen lesen, kann auf Audit-Logs lesen, kann auf ImportError lesen, kann auf XComs lesen, kann auf DAG-Code lesen, kann auf Plugins lesen, kann auf DAG-Abhängigkeiten lesen, kann auf Jobs lesen, kann auf Mein Passwort lesen, kann auf Mein Passwort bearbeiten, kann auf Mein Profil lesen, kann auf Mein Profil bearbeiten, kann auf SLA-Misses lesen, kann auf Task-Logs lesen, kann auf Website lesen, Menüzugriff auf Durchsuchen, Menüzugriff auf DAG-Abhängigkeiten, Menüzugriff auf DAG-Läufe, Menüzugriff auf Dokumentation, Menüzugriff auf Docs, Menüzugriff auf Jobs, Menüzugriff auf Audit-Logs, Menüzugriff auf Plugins, Menüzugriff auf SLA-Misses, Menüzugriff auf Task-Instanzen]

  • Public

[]

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

PreviousAirflow ConfigurationNextTerraform Security

Last updated