- 最新动态
- 功能总览
- 服务公告
- 产品介绍
- 计费说明
- 快速入门
-
用户指南
- CSS服务权限管理
-
使用Elasticsearch搜索数据
- Elasticsearch使用流程
- Elasticsearch集群规划建议
- 创建Elasticsearch集群
- 访问Elasticsearch集群
- 导入数据至Elasticsearch集群
- 使用Elasticsearch集群搜索数据
- 增强Elasticsearch集群搜索能力
- 配置Elasticsearch集群网络
- 备份与恢复Elasticsearch集群数据
- 扩缩容Elasticsearch集群
- 升级Elasticsearch集群版本
- 管理Elasticsearch集群
- 管理Elasticsearch集群索引策略
- Elasticsearch集群监控与日志管理
- 查看Elasticsearch集群审计日志
- 使用OpenSearch搜索数据
- 使用Logstash迁移数据
- CSS服务资源监控
- 最佳实践
- API参考
- SDK参考
- 场景代码示例
-
常见问题
- 产品咨询
- 计费相关
- CSS集群访问
- CSS集群迁移
-
CSS集群搜索引擎使用
- CSS服务中为什么新创建的索引分片集中分配到单节点上?
- CSS服务中Elasticsearch 7.x集群如何在index下创建type?
- CSS服务中如何配置Elasticsearch索引副本数量?
- CSS服务中Elasticsearch集群分片过多会有哪些影响?
- 如何查看CSS集群的分片数以及副本数?
- CSS服务中Elasticsearch集群的节点node.roles为i表示什么意思?
- CSS服务中如何设置Elasticsearch集群的默认分页返回最大条数?
- CSS服务中如何更新Elasticsearch生命周期策略?
- CSS服务中如何设置Elasticsearch集群慢查询日志的阈值?
- CSS服务中如何清理Elasticsearch索引数据?
- CSS服务中如何清理Elasticsearch缓存?
- 使用delete_by_query命令删除Elasticsearch集群数据后,为什么磁盘使用率反而增加?
- CSS服务的Elasticsearch集群是否支持script dotProduct?
-
CSS集群管理
- 如何查看CSS集群所分布的可用区?
- CSS服务中Filebeat版本与集群版本的关系是什么?
- 如何获取CSS服务的安全证书?
- CSS服务中如何转换CER安全证书的格式?
- CSS服务中Elasticsearch和OpenSearch集群支持修改安全组吗?
- CSS服务中Elasticsearch集群如何设置search.max_buckets参数?
- CSS服务中如何修改Elasticsearch和OpenSearch集群的TLS算法?
- CSS服务中如何开启Elasticsearch和OpenSearch集群的安全审计日志?
- CSS服务中是否支持停止集群?
- CSS集群冻结索引后如何查询OBS上的索引占用量?
- 如何查看Elasticsearch和OpenSearch集群的系统默认插件列表
- CSS集群备份与恢复
- CSS集群监控与运维
-
故障排除
-
访问集群类
- 无法正常打开Kibana
- Elasticsearch针对filebeat配置调优
- Spring Boot使用Elasticsearch出现Connection reset by peer问题
- 为什么集群创建失败
- Elasticsearch集群出现写入拒绝“Bulk Reject”,如何解决?
- Elasticsearch集群创建index pattern卡住,如何解决?
- 云搜索控制台页面提示系统繁忙
- Elasticsearch集群报错:unassigned shards all indices
- es-head插件连接Elasticsearch集群报跨域错误
- 单节点集群打开Cerebro界面显示告警
- ECS无法连接到集群
- 集群不可用
- 数据导入导出类
-
功能使用类
- 无法备份索引
- 无法使用自定义词库功能
- 快照仓库找不到
- 集群一直处于快照中
- 数据量很大,如何进行快照备份?
- 集群突现load高的故障排查
- 使用ElasticSearch的HLRC(High Level Rest Client)时,报出I/O Reactor STOPPED
- Elasticsearch集群最大堆内存持续过高(超过90%)
- Elasticsearch集群更改规格失败
- 安全集群索引只读状态修改报错
- Elasticsearch集群某一节点分配不到shard
- 集群索引插入数据失败
- CSS创建索引报错“maximum shards open”
- 删除索引报错“403 Forbidden”是什么原因?
- Kibana中删除index pattern报错Forbidden
- 执行命令update-by-query报错“Trying to create too many scroll contexts”
- Elasticsearch集群无法创建pattern
- 端口访问类
-
访问集群类
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
示例:为IAM用户(子用户)配置创建CSS集群的权限
如果您需要对所拥有的云搜索服务CSS进行细颗粒度的权限管理,可以使用统一身份认证服务IAM创建独立的IAM用户(子用户)并给IAM用户组授予策略或角色,便可使用这些策略来控制用户对CSS资源的访问范围。
本章节为您详细介绍如何创建IAM用户,并将IAM用户添加至用户组中,从而使IAM用户拥有创建CSS集群的权限。
- 创建用户组:A公司的团队分为管理组(admin)和开发人员组。由于系统默认内置了admin组,用于拥有账号所有资源的使用及管理权限,因此A公司的团队只需要在IAM中再创建开发人员组即可。
- 给用户组授权:A公司的开发人员需要使用的云服务为CSS和OBS,需要为“开发人员组”授予这几个服务的管理员权限。完成用户组的授权后,用户组中的用户才可以使用这些云服务。
- 创建IAM用户:A公司使用已注册的管理员账号,给公司成员创建IAM用户并加入用户组,使得他们拥有独立的用户和密码,可以独立登录云服务平台并使用权限范围内的资源。
- IAM用户登录并验证权限:A公司在名为“A-Company”的账号中创建了名为James、Alice、Charlie、Jackson和Emily的IAM用户。完成IAM用户创建后,A公司管理员需要将账号名、IAM用户名及初始密码告知对应的员工,这些员工就可以使用自己的用户名及密码访问云服务平台,并在云搜索服务控制台创建集群验证自己的权限。
创建用户组
- A公司管理员登录并进入华为云控制台。
- 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“统一身份认证”。
- 在统一身份认证服务,左侧导航窗格中,单击“用户组”>“创建用户组”。
- 在“创建用户组”界面,输入“用户组名称”,单击“确定”,完成用户组创建。
给用户组授权
- 在用户组列表中,单击新建用户组“开发人员组”操作列的“授权”“权限配置”。
- 在用户组“选择策略”页面中,在搜索框中搜索“CSS FullAccess”和“OBS Administrator”,勾选并单击“下一步”。
- 创建CSS集群的权限有“CSS FullAccess”或“Elasticsearch Administrator”。
- 如果还需要查看资源的消费情况,请在同区域选择“BSS Administrator”权限。
- 设置最小授权范围。建议授权范围方案选择“指定区域项目资源”,使用哪个区域的资源就选哪个区域。
此处以仅为“华北-北京四”区域的资源设置权限为例,选择授权范围方案为“指定区域项目资源”,并选择“cn-north-4 [华北-北京四]”区域。
图1 设置最小授权范围 - 单击“确定”,完成用户组授权。
创建IAM用户
- A公司管理员在统一身份认证服务,左侧导航中,选择“用户”。
- 在用户页面,单击右上角“创建用户”。
图2 创建用户
- 配置用户基本信息。在“创建用户”界面填写“用户信息”和“访问方式”。如需一次创建多个用户,可以单击“添加用户”进行批量创建,每次最多可创建10个用户。
图3 配置用户信息
说明:
- 用户可以使用此处设置的用户名、邮件地址或手机号任意一种方式登录华为云。
- 当用户忘记密码时,可以通过此处绑定的邮箱或手机自行重置密码,如果用户没有绑定邮箱或手机号码,只能由管理员重置密码。
表1 用户信息 用户信息
说明
取值样例
用户名
必填。IAM用户登录华为云的用户名。
James、Alice
邮件地址
“凭证类型”选择“首次登录时设置”时必填,选择其他时选填。IAM用户绑定的邮件地址可作为IAM用户的登录凭证,也可由IAM用户自己绑定。
暂不配置
手机号
选填。IAM用户绑定的手机号,可作为IAM用户的登录凭证,也可由IAM用户自己绑定。
暂不配置
描述
选填。记录IAM用户相关信息。
暂不配置
图4 配置访问方式表2 访问方式 访问方式
说明
取值样例
编程访问
为IAM用户启用访问密钥或密码,支持用户通过API、CLI、SDK等开发工具访问云服务。
勾选
管理控制台访问
为IAM用户启用密码,支持用户登录管理控制台访问云服务。此时凭证类型“密码”为必选项。
勾选
说明:
- 如果IAM用户仅需登录管理控制台访问云服务,建议访问方式选择管理控制台访问,凭证类型为密码。
- 如果IAM用户仅需编程访问华为云服务,建议访问方式选择编程访问,凭证类型为访问密钥。
- 如果IAM用户需要使用密码作为编程访问的凭证(部分API要求),建议访问方式选择编程访问,凭证类型为密码。
- 如果IAM用户使用部分云服务时,需要在其控制台验证访问密钥(由IAM用户输入),建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。
表3 配置凭证类型和登录保护 凭证类型与登录保护
说明
取值样例
访问密钥
访问密钥(AK/SK,Access Key ID/Secret Access Key)包含访问密钥ID(AK)和秘密访问密钥(SK)两部分,是您在华为云的长期身份凭证,您可以通过访问密钥对华为云API的请求进行签名。
创建用户完成后即可下载本次创建的所有用户的访问密钥(AK/SK)访问密钥(AK/SK)。
不勾选
密码
自定义
自定义用户密码,并选择用户首次登录时是否需要重置密码。
如果您是用户的使用主体,建议您选择该方式,设置自己的登录密码,且无需勾选首次登录时重置密码。
选择
自动生成
系统自动生成IAM用户的登录密码,创建完用户即可下载excel形式的密码文件。将密码文件提供给用户,用户使用该密码登录。
仅在创建单个用户时适用。
-
首次登录时设置
系统通过邮件发一次性登录链接给用户,用户登录控制台并设置密码。
如果您不是用户的使用主体,建议选择该方式,同时输入用户的邮件地址和手机,用户通过邮件中的一次性链接登录华为云,自行设置密码。该链接7天内有效。
-
登录保护
开启登录保护
开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证)。
该功能是一种安全实践,您可以选择通过手机、邮件地址、虚拟MFA进行登录验证。
-
不开启
创建完成后,如需开启登录保护,请参见:登录保护。
选择
- 单击“下一步”,将IAM用户James、Alice加入到上一步中创建的“网络域运维”用户组。
说明:
- 如果该用户是管理员,可以将用户加入默认用户组“admin”中。
- 一个用户可以同时加入多个用户组。
- 单击“下一步”,IAM用户创建完成,用户列表中显示新创建的IAM用户James和Alice。如果3勾选了“凭证类型”中的“访问密钥”,可在此页面下载访问密钥。
图5 创建成功
IAM用户登录并验证权限
- 在登录页面,单击登录下方的“IAM用户”“IAM用户登录”“子用户登录”,在“IAM用户登录”页面,输入“租户名/原华为云账号名”、“IAM用户名/邮件地址”和“IAM用户密码”“账号名”、“用户名/邮箱”和“密码”。
图6 IAM用户登录
表4 登录信息 参数
示例
说明
租户名/原华为云账号名
Company-A
IAM用户所属的账号。此处假设A公司的账号名为“Company-A”。
IAM用户名/邮件地址
Alice
在IAM创建用户时,输入的IAM用户名/邮件地址。如果不知道IAM用户名及初始密码,请向管理员获取。
IAM用户密码
********
IAM用户的密码,非账号密码。此处需要输入上一步中下载的Alice用户的密码。
- 单击“登录”,登录华为云。
- 在“服务列表”中选择云搜索服务,进入云搜索服务CSS控制台。
- 在云搜索服务总览页面右上角,单击“创建集群”按钮,按照创建集群的步骤创建集群,如果创建成功,则表示权限配置成功。