Français - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Airflow RBAC

Apprenez le hacking AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres moyens de soutenir HackTricks :

RBAC

(D'après la documentation)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html] : Airflow est livré avec un ensemble de rôles par défaut : Admin, User, Op, Viewer et Public. Seuls les utilisateurs Admin peuvent configurer/modifier les permissions pour les autres rôles. Cependant, il n'est pas recommandé que les utilisateurs Admin modifient ces rôles par défaut de quelque manière que ce soit en retirant ou ajoutant des permissions à ces rôles.

  • Les utilisateurs Admin ont toutes les permissions possibles.

  • Les utilisateurs Public (anonymes) n'ont aucune permission.

  • Les utilisateurs Viewer ont des permissions limitées de visualisation (lecture seule). Ils ne peuvent pas voir la configuration.

  • Les utilisateurs User ont les permissions de Viewer plus des permissions utilisateur supplémentaires qui leur permettent de gérer un peu les DAGs. Ils peuvent voir le fichier de configuration

  • Les utilisateurs Op ont les permissions de User plus des permissions opérationnelles supplémentaires.

Notez que les utilisateurs admin peuvent créer plus de rôles avec des permissions plus granulaires.

Notez également que le seul rôle par défaut avec la permission de lister les utilisateurs et les rôles est Admin, même Op ne pourra pas le faire.

Permissions par Défaut

Voici les permissions par défaut pour chaque rôle par défaut :

  • Admin

[peut supprimer sur Connections, peut lire sur Connections, peut modifier sur Connections, peut créer sur Connections, peut lire sur DAGs, peut modifier sur DAGs, peut supprimer sur DAGs, peut lire sur DAG Runs, peut lire sur Task Instances, peut modifier sur Task Instances, peut supprimer sur DAG Runs, peut créer sur DAG Runs, peut modifier sur DAG Runs, peut lire sur Audit Logs, peut lire sur ImportError, peut supprimer sur Pools, peut lire sur Pools, peut modifier sur Pools, peut créer sur Pools, peut lire sur Providers, peut supprimer sur Variables, peut lire sur Variables, peut modifier sur Variables, peut créer sur Variables, peut lire sur XComs, peut lire sur DAG Code, peut lire sur Configurations, peut lire sur Plugins, peut lire sur Roles, peut lire sur Permissions, peut supprimer sur Roles, peut modifier sur Roles, peut créer sur Roles, peut lire sur Users, peut créer sur Users, peut modifier sur Users, peut supprimer sur Users, peut lire sur DAG Dependencies, peut lire sur Jobs, peut lire sur My Password, peut modifier sur My Password, peut lire sur My Profile, peut modifier sur My Profile, peut lire sur SLA Misses, peut lire sur Task Logs, peut lire sur Website, accès au menu sur Browse, accès au menu sur DAG Dependencies, accès au menu sur DAG Runs, accès au menu sur Documentation, accès au menu sur Docs, accès au menu sur Jobs, accès au menu sur Audit Logs, accès au menu sur Plugins, accès au menu sur SLA Misses, accès au menu sur Task Instances, peut créer sur Task Instances, peut supprimer sur Task Instances, accès au menu sur Admin, accès au menu sur Configurations, accès au menu sur Connections, accès au menu sur Pools, accès au menu sur Variables, accès au menu sur XComs, peut supprimer sur XComs, peut lire sur Task Reschedules, accès au menu sur Task Reschedules, peut lire sur Triggers, accès au menu sur Triggers, peut lire sur Passwords, peut modifier sur Passwords, accès au menu sur List Users, accès au menu sur Security, accès au menu sur List Roles, peut lire sur User Stats Chart, accès au menu sur User's Statistics, accès au menu sur Base Permissions, peut lire sur View Menus, accès au menu sur Views/Menus, peut lire sur Permission Views, accès au menu sur Permission on Views/Menus, peut obtenir sur MenuApi, accès au menu sur Providers, peut créer sur XComs]

  • Op

[peut supprimer sur Connections, peut lire sur Connections, peut modifier sur Connections, peut créer sur Connections, peut lire sur DAGs, peut modifier sur DAGs, peut supprimer sur DAGs, peut lire sur DAG Runs, peut lire sur Task Instances, peut modifier sur Task Instances, peut supprimer sur DAG Runs, peut créer sur DAG Runs, peut modifier sur DAG Runs, peut lire sur Audit Logs, peut lire sur ImportError, peut supprimer sur Pools, peut lire sur Pools, peut modifier sur Pools, peut créer sur Pools, peut lire sur Providers, peut supprimer sur Variables, peut lire sur Variables, peut modifier sur Variables, peut créer sur Variables, peut lire sur XComs, peut lire sur DAG Code, peut lire sur Configurations, peut lire sur Plugins, peut lire sur DAG Dependencies, peut lire sur Jobs, peut lire sur My Password, peut modifier sur My Password, peut lire sur My Profile, peut modifier sur My Profile, peut lire sur SLA Misses, peut lire sur Task Logs, peut lire sur Website, accès au menu sur Browse, accès au menu sur DAG Dependencies, accès au menu sur DAG Runs, accès au menu sur Documentation, accès au menu sur Docs, accès au menu sur Jobs, accès au menu sur Audit Logs, accès au menu sur Plugins, accès au menu sur SLA Misses, accès au menu sur Task Instances, peut créer sur Task Instances, peut supprimer sur Task Instances, accès au menu sur Admin, accès au menu sur Configurations, accès au menu sur Connections, accès au menu sur Pools, accès au menu sur Variables, accès au menu sur XComs, peut supprimer sur XComs]

  • User

[peut lire sur DAGs, peut modifier sur DAGs, peut supprimer sur DAGs, peut lire sur DAG Runs, peut lire sur Task Instances, peut modifier sur Task Instances, peut supprimer sur DAG Runs, peut créer sur DAG Runs, peut modifier sur DAG Runs, peut lire sur Audit Logs, peut lire sur ImportError, peut lire sur XComs, peut lire sur DAG Code, peut lire sur Plugins, peut lire sur DAG Dependencies, peut lire sur Jobs, peut lire sur My Password, peut modifier sur My Password, peut lire sur My Profile, peut modifier sur My Profile, peut lire sur SLA Misses, peut lire sur Task Logs, peut lire sur Website, accès au menu sur Browse, accès au menu sur DAG Dependencies, accès au menu sur DAG Runs, accès au menu sur Documentation, accès au menu sur Docs, accès au menu sur Jobs, accès au menu sur Audit Logs, accès au menu sur Plugins, accès au menu sur SLA Misses, accès au menu sur Task Instances, peut créer sur Task Instances, peut supprimer sur Task Instances]

  • Viewer

[peut lire sur DAGs, peut lire sur DAG Runs, peut lire sur Task Instances, peut lire sur Audit Logs, peut lire sur ImportError, peut lire sur XComs, peut lire sur DAG Code, peut lire sur Plugins, peut lire sur DAG Dependencies, peut lire sur Jobs, peut lire sur My Password, peut modifier sur My Password, peut lire sur My Profile, peut modifier sur My Profile, peut lire sur SLA Misses, peut lire sur Task Logs, peut lire sur Website, accès au menu sur Browse, accès au menu sur DAG Dependencies, accès au menu sur DAG Runs, accès au menu sur Documentation, accès au menu sur Docs, accès au menu sur Jobs, accès au menu sur Audit Logs, accès au menu sur Plugins, accès au menu sur SLA Misses, accès au menu sur Task Instances]

  • Public

[]

Apprenez le hacking AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres moyens de soutenir HackTricks :

PrécédentAirflow ConfigurationSuivantTerraform Security

Dernière mise à jour