文档首页/ MapReduce服务 MRS/ 组件操作指南(安卡拉区域)/ 使用Ranger/ 添加Elasticsearch的Ranger访问权限策略
更新时间:2024-11-29 GMT+08:00
查看PDF
分享

添加Elasticsearch的Ranger访问权限策略

操作场景

Ranger管理员可通过Ranger为Elasticsearch用户配置Elasticsearch索引的创建、删除等权限。

前提条件

  • 已安装Ranger服务且服务运行正常。
  • 已创建需要配置权限的用户、用户组或Role。

操作步骤

  1. 使用Ranger管理员用户rangeradmin登录Ranger管理页面,具体操作可参考登录Ranger管理界面
  2. 在首页中单击“ELASTICSEARCH”区域的组件插件名称,例如“Elasticsearch”。
  3. 单击“Add New Policy”,添加Elasticsearch权限控制策略。
  4. 根据业务需求配置相关参数。

    表1 Elasticsearch权限参数

    参数名称

    描述

    Policy Name

    策略名称,可自定义,不能与本服务内其他策略名称重复。

    Policy Conditions

    IP过滤策略,可自定义,配置当前策略适用的主机节点,可填写一个或多个IP或IP段,并且IP填写支持“*”通配符,例如:192.168.1.10,192.168.1.20或者192.168.1.*。

    Policy Label

    为当前策略指定一个标签,可以根据这些标签搜索报告和筛选策略。

    Index

    索引名称、索引别名或索引模板名称,配置当前策略适用的索引或索引模板,可填写多个值,支持使用通配符“*”。

    Description

    策略描述信息。

    Audit Logging

    是否审计此策略。

    Allow Conditions

    策略允许条件,配置本策略内允许的权限及例外,例外条件优先级高于正常条件。

    在“Select Role”、“Select Group”、“Select User”列选择已创建好的需要授予权限的Role、用户组或用户。

    须知:

    在设置“Select Group”列时,请勿将elasticsearch用户组添加到策略中,否则会有权限放大的风险。

    单击“Add Conditions”,添加策略适用的IP地址范围,单击“Add Permissions”,添加对应权限。

    • all:所有执行权限
    • monitor:索引监控权限,包含cat_index_recovery权限
    • manage:索引管理权限,包含monitor和cat_index_recovery权限
    • view_index_metadata:查看索引元数据权限,包含indeces_search_shards和cat_index_metadata权限
    • read:索引读权限,包含clear_search_scroll权限
    • read_cross_cluster:跨集群索引读权限,包含indices_search_shards权限
    • index:索引文档写、更新权限,包含indices_put、indices_bulk、indices_index权限
    • create:索引写权限,包含indices_put、indices_bulk、indices_index权限
    • delete:索引文档删除权限,包含indices_bulk权限
    • write:索引文档写、更新、删除权限,包含indices_put权限
    • delete_index:删除索引权限
    • create_index:创建索引权限
    • cluster_manage:集群管理权限,包含cluster_monitor权限
    • cluster_monitor:集群监控权限,包含clear_search、cat_index_recovery、cat_index_metadata权限
    • indices_put:索引mapping设置权限
    • indices_search_shards:索引分片查询权限
    • indices_bulk:批量请求权限
    • indices_index:写索引文档权限
    • cat_index_recovery:执行cat recovery API权限
    • cat_index_metadata:执行cat indices API权限
    • clear_search_scroll:索引滚动查询及滚动查询缓存清理权限
    • asynchronous_search:执行异步搜索的权限
    • script:执行脚本的权限
    • Select/Deselect All:全选/取消全选

    如需让当前条件中的用户或用户组管理本条策略,可勾选“Delegate Admin”使这些用户或用户组成为受委托的管理员。被委托的管理员可以更新、删除本策略,还可以基于原始策略创建子策略。

    如需添加多条权限控制规则,可单击按钮添加。如需删除权限控制规则,可单击按钮删除。

    Deny All Other Accesses

    是否拒绝其它所有访问。
    表2 设置权限

    任务场景

    角色授权操作

    设置管理员权限
    1. 在首页中单击“ELASTICSEARCH”区域的组件插件名称,例如“Elasticsearch”。
    2. 选择Policy Name为“all - index”的策略,单击按钮编辑策略。
    3. 在“Allow Conditions”区域,单击“Select User”下选择框选择用户。

    设置用户对指定index的读写权限
    1. 在“Index”配置索引或索引模板。
    2. 在“Allow Conditions”区域,单击“Select User”下选择框选择用户。
    3. 单击“Add Permissions”,勾选“read”和“write”。

    参考样例:为“testuser”用户授予“index”开头索引的创建、删除、读写、监控、管理权限。

    参考样例:为“testuser”用户增加运行客户端样例的权限。

  5. (可选)添加策略有效期。在页面右上角单击“Add Validity period”,设置“Start Time”和“End Time”,选择“Time Zone”。单击“Save”保存。如需添加多条策略有效期,可单击按钮添加。如需删除策略有效期,可单击按钮删除。
  6. 单击“Add”,在策略列表可查看策略的基本信息。等待策略生效后,验证相关权限是否正常。

    如需禁用某条策略,可单击按钮编辑策略,设置策略开关为“Disabled”。

    如果不再使用策略,可单击按钮删除策略。

父主题: 使用Ranger