Polish - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Airflow RBAC

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

RBAC

(Z dokumentacji)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: Airflow dostarcza zestaw domyślnych ról: Admin, User, Op, Viewer i Public. Tylko użytkownicy Admin mogą konfigurować/zmieniać uprawnienia dla innych ról. Nie zaleca się, aby użytkownicy Admin zmieniali te domyślne role poprzez usuwanie lub dodawanie uprawnień do tych ról.

  • Użytkownicy Admin mają wszystkie możliwe uprawnienia.

  • Użytkownicy Public (anonimowi) nie mają żadnych uprawnień.

  • Użytkownicy Viewer mają ograniczone uprawnienia przeglądania (tylko odczyt). Nie mogą zobaczyć konfiguracji.

  • Użytkownicy User mają uprawnienia Viewer plus dodatkowe uprawnienia użytkownika, które pozwalają im nieco zarządzać DAG-ami. Mogą zobaczyć plik konfiguracyjny.

  • Użytkownicy Op mają uprawnienia User plus dodatkowe uprawnienia operatora.

Należy zauważyć, że użytkownicy admin mogą tworzyć więcej ról z bardziej szczegółowymi uprawnieniami.

Należy również zauważyć, że jedyną domyślną rolą z uprawnieniami do listowania użytkowników i ról jest Admin, nawet Op nie będzie w stanie tego zrobić.

Domyślne Uprawnienia

Oto domyślne uprawnienia dla każdej domyślnej roli:

  • Admin

[może usuwać połączenia, może czytać połączenia, może edytować połączenia, może tworzyć połączenia, może czytać DAG-i, może edytować DAG-i, może usuwać DAG-i, może czytać uruchomienia DAG, może czytać instancje zadań, może edytować instancje zadań, może usuwać uruchomienia DAG, może tworzyć uruchomienia DAG, może edytować uruchomienia DAG, może czytać dzienniki audytu, może czytać ImportError, może usuwać pulki, może czytać pulki, może edytować pulki, może tworzyć pulki, może czytać dostawców, może usuwać zmienne, może czytać zmienne, może edytować zmienne, może tworzyć zmienne, może czytać XComs, może czytać kod DAG, może czytać konfiguracje, może czytać wtyczki, może czytać zależności DAG, może czytać zadania, może czytać moje hasło, może edytować moje hasło, może czytać mój profil, może edytować mój profil, może czytać pominięcia SLA, może czytać dzienniki zadań, może czytać stronę internetową, dostęp do menu w przeglądarce, dostęp do menu w zależnościach DAG, dostęp do menu w uruchomieniach DAG, dostęp do menu w dokumentacji, dostęp do menu w dokumentach, dostęp do menu w zadaniach, dostęp do menu w dziennikach audytu, dostęp do menu w wtyczkach, dostęp do menu w pominięciach SLA, dostęp do menu w instancjach zadań, może tworzyć instancje zadań, może usuwać instancje zadań, dostęp do menu w panelu administracyjnym, dostęp do menu w konfiguracjach, dostęp do menu w połączeniach, dostęp do menu w pulkach, dostęp do menu w zmiennych, dostęp do menu w XComs, może usuwać XComs, może czytać przekładanie zadań, dostęp do menu w przekładaniu zadań, może czytać wyzwalacze, dostęp do menu w wyzwalaczach, może czytać hasła, może edytować hasła, dostęp do menu w liście użytkowników, dostęp do menu w zabezpieczeniach, dostęp do menu w liście ról, może czytać wykres statystyk użytkownika, dostęp do menu w statystykach użytkownika, dostęp do podstawowych uprawnień, może czytać widoki menu, dostęp do menu w widokach/menu, może czytać widoki uprawnień, dostęp do menu w uprawnieniach widoku/menu, może uzyskać dostęp do MenuApi, dostęp do menu w dostawcach, może tworzyć XComs]

  • Op

[może usuwać połączenia, może czytać połączenia, może edytować połączenia, może tworzyć połączenia, może czytać DAG-i, może edytować DAG-i, może usuwać DAG-i, może czytać uruchomienia DAG, może czytać instancje zadań, może edytować instancje zadań, może usuwać uruchomienia DAG, może tworzyć uruchomienia DAG, może edytować uruchomienia DAG, może czytać dzienniki audytu, może czytać ImportError, może usuwać pulki, może czytać pulki, może edytować pulki, może tworzyć pulki, może czytać dostawców, może usuwać zmienne, może czytać zmienne, może edytować zmienne, może tworzyć zmienne, może czytać XComs, może czytać kod DAG, może czytać konfiguracje, może czytać wtyczki, może czytać zależności DAG, może czytać zadania, może czytać moje hasło, może edytować moje hasło, może czytać mój profil, może edytować mój profil, może czytać pominięcia SLA, może czytać dzienniki zadań, może czytać stronę internetową, dostęp do menu w przeglądarce, dostęp do menu w zależnościach DAG, dostęp do menu w uruchomieniach DAG, dostęp do menu w dokumentacji, dostęp do menu w dokumentach, dostęp do menu w zadaniach

PreviousAirflow ConfigurationNextTerraform Security

Last updated