Ukranian - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Airflow RBAC

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

RBAC

(З документації)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: Airflow поставляється з набором ролей за замовчуванням: Admin, User, Op, Viewer та Public. Тільки користувачі Admin можуть налаштовувати/змінювати дозволи для інших ролей. Проте не рекомендується, щоб користувачі Admin змінювали ці ролі за замовчуванням шляхом видалення або додавання дозволів до цих ролей.

  • Користувачі Admin мають всі можливі дозволи.

  • Користувачі Public (анонімні) не мають жодних дозволів.

  • Користувачі Viewer мають обмежені дозволи перегляду (тільки читання). Він не може бачити конфігурацію.

  • Користувачі User мають дозволи Viewer плюс додаткові дозволи користувача, які дозволяють йому трохи керувати DAGs. Він може бачити файл конфігурації

  • Користувачі Op мають дозволи User плюс додаткові дозволи оператора.

Зверніть увагу, що користувачі-адміністратори можуть створювати більше ролей з більш деталізованими дозволами.

Також зверніть увагу, що єдиною роллю за замовчуванням з дозволом переліку користувачів та ролей є Admin, навіть Op не зможе цього зробити.

Дозволи за замовчуванням

Ось дозволи за замовчуванням для кожної ролі:

  • Admin

[може видаляти Connections, може читати Connections, може редагувати Connections, може створювати Connections, може читати DAGs, може редагувати DAGs, може видаляти DAGs, може читати DAG Runs, може читати Task Instances, може редагувати Task Instances, може видаляти DAG Runs, може створювати DAG Runs, може редагувати DAG Runs, може читати Audit Logs, може читати ImportError, може видаляти Pools, може читати Pools, може редагувати Pools, може створювати Pools, може читати Providers, може видаляти Variables, може читати Variables, може редагувати Variables, може створювати Variables, може читати XComs, може читати DAG Code, може читати Configurations, може читати Plugins, може читати Roles, може читати Permissions, може видаляти Roles, може редагувати Roles, може створювати Roles, може читати Users, може створювати Users, може редагувати Users, може видаляти Users, може читати DAG Dependencies, може читати Jobs, може читати My Password, може редагувати My Password, може читати My Profile, може редагувати My Profile, може читати SLA Misses, може читати Task Logs, може читати Website, доступ до меню на Browse, доступ до меню на DAG Dependencies, доступ до меню на DAG Runs, доступ до меню на Documentation, доступ до меню на Docs, доступ до меню на Jobs, доступ до меню на Audit Logs, доступ до меню на Plugins, доступ до меню на SLA Misses, доступ до меню на Task Instances, може створювати Task Instances, може видаляти Task Instances, доступ до меню на Admin, доступ до меню на Configurations, доступ до меню на Connections, доступ до меню на Pools, доступ до меню на Variables, доступ до меню на XComs, може видаляти XComs, може читати Task Reschedules, доступ до меню на Task Reschedules, може читати Triggers, доступ до меню на Triggers, може читати Passwords, може редагувати Passwords, доступ до меню на List Users, доступ до меню на Security, доступ до меню на List Roles, може читати User Stats Chart, доступ до меню на User's Statistics, доступ до меню на Base Permissions, може читати View Menus, доступ до меню на Views/Menus, може читати Permission Views, доступ до меню на Permission on Views/Menus, може отримати MenuApi, доступ до меню на Providers, може створювати XComs]

  • Op

[може видаляти Connections, може читати Connections, може редагувати Connections, може створювати Connections, може читати DAGs, може редагувати DAGs, може видаляти DAGs, може читати DAG Runs, може читати Task Instances, може редагувати Task Instances, може видаляти DAG Runs, може створювати DAG Runs, може редагувати DAG Runs, може читати Audit Logs, може читати ImportError, може видаляти Pools, може читати Pools, може редагувати Pools, може створювати Pools, може читати Providers, може видаляти Variables, може читати Variables, може редагувати Variables, може створювати Variables, може читати XComs, може читати DAG Code, може читати Configurations, може читати Plugins, може читати DAG Dependencies, може читати Jobs, може читати My Password, може редагувати My Password, може читати My Profile, може редагувати My Profile, може читати SLA Misses, може читати Task Logs, може читати Website, доступ до меню на Browse, доступ до меню на DAG Dependencies, доступ до меню на DAG Runs, доступ до меню на Documentation, доступ до меню на Docs, доступ до меню на Jobs, доступ до меню на Audit Logs, доступ до меню на Plugins, доступ до меню на SLA Misses, доступ до меню на Task Instances, може створювати Task Instances, може видаляти Task Instances, доступ до меню на Admin, доступ до меню на Configurations, доступ до меню на Connections, доступ до меню на Pools, доступ до меню на Variables, доступ до меню на XComs, може видаляти XComs]

  • User

[може читати DAGs, може редагувати DAGs, може видаляти DAGs, може читати DAG Runs, може читати Task Instances, може редагувати Task Instances, може видаляти DAG Runs, може створювати DAG Runs, може редагувати DAG Runs, може читати Audit Logs, може читати ImportError, може читати XComs, може читати DAG Code, може читати Plugins, може читати DAG Dependencies, може читати Jobs, може читати My Password, може редагувати My Password, може читати My Profile, може редагувати My Profile, може читати SLA Misses, може читати Task Logs, може читати Website, доступ до меню на Browse, доступ до меню на DAG Dependencies, доступ до меню на DAG Runs, доступ до меню на Documentation, доступ до меню на Docs, доступ до меню на Jobs, доступ до меню на Audit Logs, доступ до меню на Plugins, доступ до меню на SLA Misses, доступ до меню на Task Instances, може створювати Task Instances, може видаляти Task Instances]

  • Viewer

[може читати DAGs, може читати DAG Runs, може читати Task Instances, може читати Audit Logs, може читати ImportError, може читати XComs, може читати DAG Code, може читати Plugins, може читати DAG Dependencies, може читати Jobs, може читати My Password, може редагувати My Password, може читати My Profile, може редагувати My Profile, може читати SLA Misses, може читати Task Logs, може читати Website, доступ до меню на Browse, доступ до меню на DAG Dependencies, доступ до меню на DAG Runs, доступ до меню на Documentation, доступ до меню на Docs, доступ до меню на Jobs, доступ до меню на Audit Logs, доступ до меню на Plugins, доступ до меню на SLA Misses, доступ до меню на Task Instances]

  • Public

[]

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

PreviousAirflow ConfigurationNextTerraform Security

Last updated