文档首页/ 云搜索服务 CSS/ 用户指南/ 使用Elasticsearch搜索数据/ 管理Elasticsearch集群/ 创建Elasticsearch集群用户并授权使用
更新时间:2025-08-22 GMT+08:00
查看PDF
分享

创建Elasticsearch集群用户并授权使用

CSS服务会对开启安全模式的集群进行访问控制,只有通过身份认证的用户才能访问安全集群。在创建安全集群时,必须配置一个管理员账号。该管理员能够使用Kibana为集群添加新用户,并授予相应的安全集群使用权限。本文将以7.10.2版本的Kibana为例,指导如何使用Kibana为安全集群配置用户授权。

背景信息

云搜索服务用opendistro_security安全插件对外提供安全集群能力,opendistro_security安全插件是基于RBAC(Role-Based Access Control)模型构建。RBAC包括三个重要核心概念:用户(User)、权限(Action)、角色(Role)。RBAC简化了用户和权限的关系,降低了权限管理的难度,方便权限扩展易于维护。三者之前的关系如图1所示。

图1 用户、权限和角色
表1 概念介绍

参数

描述

User

用户:可以向Elasticsearch集群发出操作请求。用户具有凭证(例如,用户名和密码)、零个或多个后端角色以及零个或多个自定义属性。

Role

角色:定义为权限或操作组的组合,包括对集群,索引,文档或字段的操作权限。

Permission

权限:单个动作,例如创建索引(例如indices:admin/create)。

Role mapping

角色映射:用户在成功进行身份验证后会担任角色。角色映射,就是将角色映射到用户(或后端角色)。例如,kibana_user(角色)到Bob(用户)的映射意味着Bob在获得kibana_user身份验证后获得了所有权限。同样,all_access(角色)到admin(后端角色)的映射意味着具有后端角色admin(来自LDAP / Active Directory服务器)的任何用户都获得了all_access身份验证后的所有权限。您可以将每个角色映射到许多用户和/或后端角色。

Action group

操作组:一组权限。例如,预定义的SEARCH操作组授权角色使用_search和_msearch API。

除了RBAC模型,Elasticsearch还有Tenant概念。RBAC用于解决用户级别的授权问题,而Tenant则处理不同租户间的信息共享问题。通过配置Tenant空间,租户能够在该空间内共享Dashboard、index_pattern等信息。

默认情况下,用户仅能查看其Private Tenant空间中的index_pattern、dashboard等信息。当添加新用户“test”时,系统会自动生成一个名为“.kibana_xxx_test”的索引,该用户Private空间的内容将存储于此。同理,管理员账号的Private Tenant空间内容则存储在“.kibana_xxx_admin”索引中。当需要与其他租户共享index_pattern或Dashboard信息时,可以选择在Global Tenant空间中创建它们,其他用户只需切换至Global Tenant,即可访问共享信息。

在Kibana界面的Security菜单中,您可以控制用户在Elasticsearch集群中的权限,实现集群、索引、文档和字段四个级别的细粒度访问权限控制。

支持添加或删除集群的用户,并能够将用户映射到角色,实现用户关联角色权限。

角色映射功能允许配置角色的成员,通过用户名、后端角色和主机名将用户分配给相应的角色。支持为每种角色配置集群访问权限、索引和文档的访问权限,以及Kibana的使用权限。

有关安全集群的更多安全配置信息以及详细的操作指导,可以参考Elasticsearch的安全模式官方介绍

介绍视频

约束限制

  • Kibana中可以自定义用户名、角色名、租户名等。
  • 不同版本的Kibana界面可能有所差异,请以实际操作环境为准。本文以Kibana 7.10.2版本作为示例。

创建用户并授权

  1. 登录云搜索服务管理控制台
  2. 在左侧导航栏,选择“集群管理 > Elasticsearch”
  3. 在集群列表,选择目标集群,单击操作列的“Kibana”,使用管理员账号登录Kibana。
    • 账户名:admin(默认管理员账户名)
    • 密码:创建安全模式的集群时,设置的管理员密码。
  4. 登录成功后,在Kibana操作界面的左侧导航栏选择“Security”,进入“Security”页面。
  5. 给安全集群添加一个新用户“test”。
    1. 单击导航栏的“Internal users”,进入创建用户页面。
    2. “Internal Users”页面,单击“Create internal user”,进入创建用户信息页面。
      图2 添加用户
    3. 在创建用户页面,输入“Username”“Password”“Re-enter password”。此处以用户名“test”为例。

      下面还有两个可选参数,供选择配置。参数的详细信息可以单击页面的“Learn more”查看。

      • Backend roles:后端角色,后端角色用于将来自外部身份验证系统(如LDAP或SAML)的用户映射到Open Distro安全角色。
      • Attributes:属性,Attributes可以用于进一步描述用户,更重要的是,它们可以用作角色的索引权限中的文档级安全性查询中的变量。这使得编写基于用户属性的动态DLS查询成为可能。
    4. 配置完成后,单击“Create”,创建成功后,可以在列表中看到新创建的用户。
  6. 创建角色“role_test”,并为角色授权。
    1. “Security”中选择“Roles”,进入Roles页面。页面有系统预置角色,具体的角色权限描述请单击页面的“Learn more”查看,如果预置角色能满足您的要求,建议直接选择预置角色。
    2. 在Roles页面,单击“Create Role”创建角色权限。
    3. 设置角色名“Name”,例如“role_test”。
      图3 添加角色名称
    4. “Cluster Permissions”设置集群权限。根据业务需要选择相应的集群权限,不配置时表示角色不具有任何集群级别的权限。此处,以配置cluster_monitor集群权限为例。

      在Elasticsearch中,cluster_monitor权限允许用户监控和观察集群的状态,但不允许进行任何可能会改变集群状态的操作。具体来说,拥有cluster_monitor权限的用户可以执行以下操作:

      • 查看集群的健康状态和状态信息。
      • 查看集群的节点信息。
      • 查看集群的统计信息。
      • 查看集群的待处理任务。
      • 查看集群的恢复、段信息、索引统计信息和状态。
      图4 Cluster Permissions页面
    5. “Index Permissions”设置索引权限。为可选配置。索引权限允许您指定此角色中的用户如何访问特定索引。
      • “Index”:配置权限的索引名称,例如,索引模板名称为“my_store”

        建议索引名称和创建的用户名不要相同。

      • “Index permissions”:根据需要开通的权限设置。
    6. “Tenant Permissions”设置租户权限。为可选配置。Kibana中的租户是用于保存索引模式、可视化、仪表板和其他Kibana对象的空间。默认情况下,所有Kibana用户都可以访问两个租户:私有和全局。全局租户在每个Kibana用户之间共享。私有租户是每个用户独享的,不能共享。关于租户权限的详细解释请单击页面的“Learn more”查看。
    7. 单击“Create”,保存角色设置,即可在“Roles”列表看到新建的角色。
  7. 将角色映射到用户,使用户具有角色的权限。
    1. “Security”中选择“Roles”,单击"role_test"角色名称,进入角色详情页面。
    2. 单击“Mapped users”页签,在Mapped users页面单击“Map user”
    3. 在“Map user”页面,单击下拉框选择创建的“test”用户。
    4. 添加完成后,单击“Map”

  8. 配置完成后,验证用户权限是否生效。
    1. 使用创建的用户“test”登录Kibana。
    2. 单击左侧导航栏选择“Dev Tools” ,进入操作页面。
    3. 执行查询集群健康状态的命令GET /_cluster/health?pretty,结果显示200,可以查询到集群的基本情况,表示用户有查看集群状态的权限。
    4. 执行创建索引命令PUT /my_test,结果显示403,表示没有权限创建索引。

    因此,用户“test”只有查看集群状态权限,没有创建索引权限,配置成功。

    当需要补充创建索引的权限时,可以根据结果中的报错提示,给角色加上对应的权限即可。

相关文档