Airflow RBAC
RBAC
(Z dokumentacji)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: Airflow dostarcza zestaw domyślnych ról: Admin, User, Op, Viewer i Public. Tylko użytkownicy Admin
mogą konfigurować/zmieniać uprawnienia dla innych ról. Nie zaleca się, aby użytkownicy Admin
zmieniali te domyślne role poprzez usuwanie lub dodawanie uprawnień do tych ról.
Użytkownicy
Admin
mają wszystkie możliwe uprawnienia.Użytkownicy
Public
(anonimowi) nie mają żadnych uprawnień.Użytkownicy
Viewer
mają ograniczone uprawnienia przeglądania (tylko odczyt). Nie mogą zobaczyć konfiguracji.Użytkownicy
User
mają uprawnieniaViewer
plus dodatkowe uprawnienia użytkownika, które pozwalają im nieco zarządzać DAG-ami. Mogą zobaczyć plik konfiguracyjny.Użytkownicy
Op
mają uprawnieniaUser
plus dodatkowe uprawnienia operatora.
Należy zauważyć, że użytkownicy admin mogą tworzyć więcej ról z bardziej szczegółowymi uprawnieniami.
Należy również zauważyć, że jedyną domyślną rolą z uprawnieniami do listowania użytkowników i ról jest Admin, nawet Op nie będzie w stanie tego zrobić.
Domyślne Uprawnienia
Oto domyślne uprawnienia dla każdej domyślnej roli:
Admin
[może usuwać połączenia, może czytać połączenia, może edytować połączenia, może tworzyć połączenia, może czytać DAG-i, może edytować DAG-i, może usuwać DAG-i, może czytać uruchomienia DAG, może czytać instancje zadań, może edytować instancje zadań, może usuwać uruchomienia DAG, może tworzyć uruchomienia DAG, może edytować uruchomienia DAG, może czytać dzienniki audytu, może czytać ImportError, może usuwać pulki, może czytać pulki, może edytować pulki, może tworzyć pulki, może czytać dostawców, może usuwać zmienne, może czytać zmienne, może edytować zmienne, może tworzyć zmienne, może czytać XComs, może czytać kod DAG, może czytać konfiguracje, może czytać wtyczki, może czytać zależności DAG, może czytać zadania, może czytać moje hasło, może edytować moje hasło, może czytać mój profil, może edytować mój profil, może czytać pominięcia SLA, może czytać dzienniki zadań, może czytać stronę internetową, dostęp do menu w przeglądarce, dostęp do menu w zależnościach DAG, dostęp do menu w uruchomieniach DAG, dostęp do menu w dokumentacji, dostęp do menu w dokumentach, dostęp do menu w zadaniach, dostęp do menu w dziennikach audytu, dostęp do menu w wtyczkach, dostęp do menu w pominięciach SLA, dostęp do menu w instancjach zadań, może tworzyć instancje zadań, może usuwać instancje zadań, dostęp do menu w panelu administracyjnym, dostęp do menu w konfiguracjach, dostęp do menu w połączeniach, dostęp do menu w pulkach, dostęp do menu w zmiennych, dostęp do menu w XComs, może usuwać XComs, może czytać przekładanie zadań, dostęp do menu w przekładaniu zadań, może czytać wyzwalacze, dostęp do menu w wyzwalaczach, może czytać hasła, może edytować hasła, dostęp do menu w liście użytkowników, dostęp do menu w zabezpieczeniach, dostęp do menu w liście ról, może czytać wykres statystyk użytkownika, dostęp do menu w statystykach użytkownika, dostęp do podstawowych uprawnień, może czytać widoki menu, dostęp do menu w widokach/menu, może czytać widoki uprawnień, dostęp do menu w uprawnieniach widoku/menu, może uzyskać dostęp do MenuApi, dostęp do menu w dostawcach, może tworzyć XComs]
Op
[może usuwać połączenia, może czytać połączenia, może edytować połączenia, może tworzyć połączenia, może czytać DAG-i, może edytować DAG-i, może usuwać DAG-i, może czytać uruchomienia DAG, może czytać instancje zadań, może edytować instancje zadań, może usuwać uruchomienia DAG, może tworzyć uruchomienia DAG, może edytować uruchomienia DAG, może czytać dzienniki audytu, może czytać ImportError, może usuwać pulki, może czytać pulki, może edytować pulki, może tworzyć pulki, może czytać dostawców, może usuwać zmienne, może czytać zmienne, może edytować zmienne, może tworzyć zmienne, może czytać XComs, może czytać kod DAG, może czytać konfiguracje, może czytać wtyczki, może czytać zależności DAG, może czytać zadania, może czytać moje hasło, może edytować moje hasło, może czytać mój profil, może edytować mój profil, może czytać pominięcia SLA, może czytać dzienniki zadań, może czytać stronę internetową, dostęp do menu w przeglądarce, dostęp do menu w zależnościach DAG, dostęp do menu w uruchomieniach DAG, dostęp do menu w dokumentacji, dostęp do menu w dokumentach, dostęp do menu w zadaniach
Dołącz do 💬 grupy Discord lub grupy Telegram lub śledź mnie na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do repozytoriów HackTricks i HackTricks Cloud na GitHubie.
Last updated