Airflow RBAC

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看 subscription plans!

加入 💬 Discord group 或者 telegram group 或关注我们的 Twitter 🐦 @hacktricks_live.

通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PRs 来分享 hacking tricks。

RBAC

(来自文档)[https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html]: Airflow 默认提供了一组角色: Admin, User, Op, Viewer, 和 Public。只有 Admin 用户可以 配置/更改其他角色的权限。但不建议 Admin 用户以任何方式更改这些默认角色，删除或添加这些角色的权限。

Admin 用户拥有所有可能的权限。
Public 用户（匿名）没有任何权限。
Viewer 用户拥有有限的查看权限（仅可读）。他 无法查看配置。
User 用户拥有 Viewer 权限以及额外的用户权限，允许他管理 DAG。他 可以查看配置文件。
Op 用户拥有 User 权限以及额外的操作权限。

请注意，admin 用户可以 创建更多角色，并赋予更 细粒度的权限。

还要注意，唯一具有 列出用户和角色权限的默认角色是 Admin，连 Op 都无法做到这一点。

默认权限

以下是每个默认角色的默认权限：

Admin

[可以在 Connections 上删除，可以在 Connections 上读取，可以在 Connections 上编辑，可以在 Connections 上创建，可以在 DAGs 上读取，可以在 DAGs 上编辑，可以在 DAGs 上删除，可以在 DAG Runs 上读取，可以在 Task Instances 上读取，可以在 Task Instances 上编辑，可以在 DAG Runs 上删除，可以在 DAG Runs 上创建，可以在 DAG Runs 上编辑，可以在 Audit Logs 上读取，可以在 ImportError 上读取，可以在 Pools 上删除，可以在 Pools 上读取，可以在 Pools 上编辑，可以在 Pools 上创建，可以在 Providers 上读取，可以在 Variables 上删除，可以在 Variables 上读取，可以在 Variables 上编辑，可以在 Variables 上创建，可以在 XComs 上读取，可以在 DAG Code 上读取，可以在 Configurations 上读取，可以在 Plugins 上读取，可以在 Roles 上读取，可以在 Permissions 上读取，可以在 Roles 上删除，可以在 Roles 上编辑，可以在 Roles 上创建，可以在 Users 上读取，可以在 Users 上创建，可以在 Users 上编辑，可以在 Users 上删除，可以在 DAG Dependencies 上读取，可以在 Jobs 上读取，可以在 My Password 上读取，可以在 My Password 上编辑，可以在 My Profile 上读取，可以在 My Profile 上编辑，可以在 SLA Misses 上读取，可以在 Task Logs 上读取，可以在 Website 上读取，菜单访问 Browse，菜单访问 DAG Dependencies，菜单访问 DAG Runs，菜单访问 Documentation，菜单访问 Docs，菜单访问 Jobs，菜单访问 Audit Logs，菜单访问 Plugins，菜单访问 SLA Misses，菜单访问 Task Instances，可以在 Task Instances 上创建，可以在 Task Instances 上删除，菜单访问 Admin，菜单访问 Configurations，菜单访问 Connections，菜单访问 Pools，菜单访问 Variables，菜单访问 XComs，可以在 XComs 上删除，可以在 Task Reschedules 上读取，菜单访问 Task Reschedules，可以在 Triggers 上读取，菜单访问 Triggers，可以在 Passwords 上读取，可以在 Passwords 上编辑，菜单访问 List Users，菜单访问 Security，菜单访问 List Roles，可以在 User Stats Chart 上读取，菜单访问 User’s Statistics，菜单访问 Base Permissions，可以在 View Menus 上读取，菜单访问 Views/Menus，可以在 Permission Views 上读取，菜单访问 Permission on Views/Menus，可以在 MenuApi 上获取，菜单访问 Providers，可以在 XComs 上创建]

User

[可以在 DAGs 上读取，可以在 DAGs 上编辑，可以在 DAGs 上删除，可以在 DAG Runs 上读取，可以在 Task Instances 上读取，可以在 Task Instances 上编辑，可以在 DAG Runs 上删除，可以在 DAG Runs 上创建，可以在 DAG Runs 上编辑，可以在 Audit Logs 上读取，可以在 ImportError 上读取，可以在 XComs 上读取，可以在 DAG Code 上读取，可以在 Plugins 上读取，可以在 DAG Dependencies 上读取，可以在 Jobs 上读取，可以在 My Password 上读取，可以在 My Password 上编辑，可以在 My Profile 上读取，可以在 My Profile 上编辑，可以在 SLA Misses 上读取，可以在 Task Logs 上读取，可以在 Website 上读取，菜单访问 Browse，菜单访问 DAG Dependencies，菜单访问 DAG Runs，菜单访问 Documentation，菜单访问 Docs，菜单访问 Jobs，菜单访问 Audit Logs，菜单访问 Plugins，菜单访问 SLA Misses，菜单访问 Task Instances，可以在 Task Instances 上创建，可以在 Task Instances 上删除]

Viewer

[可以在 DAGs 上读取，可以在 DAG Runs 上读取，可以在 Task Instances 上读取，可以在 Audit Logs 上读取，可以在 ImportError 上读取，可以在 XComs 上读取，可以在 DAG Code 上读取，可以在 Plugins 上读取，可以在 DAG Dependencies 上读取，可以在 Jobs 上读取，可以在 My Password 上读取，可以在 My Password 上编辑，可以在 My Profile 上读取，可以在 My Profile 上编辑，可以在 SLA Misses 上读取，可以在 Task Logs 上读取，可以在 Website 上读取，菜单访问 Browse，菜单访问 DAG Dependencies，菜单访问 DAG Runs，菜单访问 Documentation，菜单访问 Docs，菜单访问 Jobs，菜单访问 Audit Logs，菜单访问 Plugins，菜单访问 SLA Misses，菜单访问 Task Instances]

Public

[]

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看 subscription plans!

加入 💬 Discord group 或者 telegram group 或关注我们的 Twitter 🐦 @hacktricks_live.

通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PRs 来分享 hacking tricks。