- 最新动态
- 功能总览
- 服务公告
- 产品介绍
- 计费说明
- 快速入门
-
用户指南
- CSS服务权限管理
-
使用Elasticsearch搜索数据
- Elasticsearch使用流程
- Elasticsearch集群规划建议
- 创建Elasticsearch集群
- 访问Elasticsearch集群
- 导入数据至Elasticsearch集群
- 使用Elasticsearch集群搜索数据
- 增强Elasticsearch集群搜索能力
- 配置Elasticsearch集群网络
- 备份与恢复Elasticsearch集群数据
- 扩缩容Elasticsearch集群
- 升级Elasticsearch集群版本
- 管理Elasticsearch集群
- 管理Elasticsearch集群索引策略
- Elasticsearch集群监控与日志管理
- 查看Elasticsearch集群审计日志
- 使用OpenSearch搜索数据
- 使用Logstash迁移数据
- CSS服务资源监控
- 最佳实践
- API参考
- SDK参考
- 场景代码示例
-
常见问题
- 产品咨询
- 计费相关
- CSS集群访问
- CSS集群迁移
-
CSS集群搜索引擎使用
- CSS服务中为什么新创建的索引分片集中分配到单节点上?
- CSS服务中Elasticsearch 7.x集群如何在index下创建type?
- CSS服务中如何配置Elasticsearch索引副本数量?
- CSS服务中Elasticsearch集群分片过多会有哪些影响?
- 如何查看CSS集群的分片数以及副本数?
- CSS服务中Elasticsearch集群的节点node.roles为i表示什么意思?
- CSS服务中如何设置Elasticsearch集群的默认分页返回最大条数?
- CSS服务中如何更新Elasticsearch生命周期策略?
- CSS服务中如何设置Elasticsearch集群慢查询日志的阈值?
- CSS服务中如何清理Elasticsearch索引数据?
- CSS服务中如何清理Elasticsearch缓存?
- 使用delete_by_query命令删除Elasticsearch集群数据后,为什么磁盘使用率反而增加?
- CSS服务的Elasticsearch集群是否支持script dotProduct?
-
CSS集群管理
- 如何查看CSS集群所分布的可用区?
- CSS服务中Filebeat版本与集群版本的关系是什么?
- 如何获取CSS服务的安全证书?
- CSS服务中如何转换CER安全证书的格式?
- CSS服务中Elasticsearch和OpenSearch集群支持修改安全组吗?
- CSS服务中Elasticsearch集群如何设置search.max_buckets参数?
- CSS服务中如何修改Elasticsearch和OpenSearch集群的TLS算法?
- CSS服务中如何开启Elasticsearch和OpenSearch集群的安全审计日志?
- CSS服务中是否支持停止集群?
- CSS集群冻结索引后如何查询OBS上的索引占用量?
- 如何查看Elasticsearch和OpenSearch集群的系统默认插件列表
- CSS集群备份与恢复
- CSS集群监控与运维
-
故障排除
-
访问集群类
- 无法正常打开Kibana
- Elasticsearch针对filebeat配置调优
- Spring Boot使用Elasticsearch出现Connection reset by peer问题
- 为什么集群创建失败
- Elasticsearch集群出现写入拒绝“Bulk Reject”,如何解决?
- Elasticsearch集群创建index pattern卡住,如何解决?
- 云搜索控制台页面提示系统繁忙
- Elasticsearch集群报错:unassigned shards all indices
- es-head插件连接Elasticsearch集群报跨域错误
- 单节点集群打开Cerebro界面显示告警
- ECS无法连接到集群
- 集群不可用
- 数据导入导出类
-
功能使用类
- 无法备份索引
- 无法使用自定义词库功能
- 快照仓库找不到
- 集群一直处于快照中
- 数据量很大,如何进行快照备份?
- 集群突现load高的故障排查
- 使用ElasticSearch的HLRC(High Level Rest Client)时,报出I/O Reactor STOPPED
- Elasticsearch集群最大堆内存持续过高(超过90%)
- Elasticsearch集群更改规格失败
- 安全集群索引只读状态修改报错
- Elasticsearch集群某一节点分配不到shard
- 集群索引插入数据失败
- CSS创建索引报错“maximum shards open”
- 删除索引报错“403 Forbidden”是什么原因?
- Kibana中删除index pattern报错Forbidden
- 执行命令update-by-query报错“Trying to create too many scroll contexts”
- Elasticsearch集群无法创建pattern
- 端口访问类
-
访问集群类
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
创建Elasticsearch集群用户并授权使用
CSS服务会对开启安全模式的集群进行访问控制,只有通过身份认证的用户才能访问安全集群。在创建安全集群时,必须配置一个管理员账号。该管理员能够使用Kibana为集群添加新用户,并授予相应的安全集群使用权限。本文将以7.10.2版本的Kibana为例,指导如何使用Kibana为安全集群配置用户授权。
背景信息
云搜索服务用opendistro_security安全插件对外提供安全集群能力,opendistro_security安全插件是基于RBAC(Role-Based Access Control)模型构建。RBAC包括三个重要核心概念:用户(User)、权限(Action)、角色(Role)。RBAC简化了用户和权限的关系,降低了权限管理的难度,方便权限扩展易于维护。三者之前的关系如图1所示。
参数 |
描述 |
---|---|
User |
用户:可以向Elasticsearch集群发出操作请求。用户具有凭证(例如,用户名和密码)、零个或多个后端角色以及零个或多个自定义属性。 |
Role |
角色:定义为权限或操作组的组合,包括对集群,索引,文档或字段的操作权限。 |
Permission |
权限:单个动作,例如创建索引(例如indices:admin/create)。 |
Role mapping |
角色映射:用户在成功进行身份验证后会担任角色。角色映射,就是将角色映射到用户(或后端角色)。例如,kibana_user(角色)到jdoe(用户)的映射意味着John Doe在获得kibana_user身份验证后获得了所有权限。同样,all_access(角色)到admin(后端角色)的映射意味着具有后端角色admin(来自LDAP / Active Directory服务器)的任何用户都获得了all_access身份验证后的所有权限。您可以将每个角色映射到许多用户和/或后端角色。 |
Action group |
操作组:一组权限。例如,预定义的SEARCH操作组授权角色使用_search和_msearchAPI。 |
除了RBAC模型,Elasticsearch还有Tenant概念。RBAC用于解决用户级别的授权问题,而Tenant则处理不同租户间的信息共享问题。通过配置Tenant空间,租户能够在该空间内共享Dashboard、index_pattern等信息。
默认情况下,用户仅能查看其Private Tenant空间中的index_pattern、dashboard等信息。当添加新用户“test”时,系统会自动生成一个名为“.kibana_xxx_test”的索引,该用户Private空间的内容将存储于此。同理,管理员账号的Private Tenant空间内容则存储在“.kibana_xxx_admin”索引中。当需要与其他租户共享index_pattern或Dashboard信息时,可以选择在Global Tenant空间中创建它们,其他用户只需切换至Global Tenant,即可访问共享信息。
在Kibana界面的Security菜单中,您可以控制用户在Elasticsearch集群中的权限,实现集群、索引、文档和字段四个级别的细粒度访问权限控制。
支持添加或删除集群的用户,并能够将用户映射到角色,实现用户关联角色权限。
角色映射功能允许配置角色的成员,通过用户名、后端角色和主机名将用户分配给相应的角色。支持为每种角色配置集群访问权限、索引和文档的访问权限,以及Kibana的使用权限。
有关安全集群的更多安全配置信息以及详细的操作指导,可以参考Elasticsearch的安全模式官方介绍。
介绍视频
约束限制
- Kibana中可以自定义用户名、角色名、租户名等。
- 不同版本的Kibana界面可能有所差异,请以实际操作环境为准。本文以Kibana 7.10.2版本作为示例。
创建用户并授权
- 登录云搜索服务控制台。
- 在集群管理列表,选择对应集群,单击操作列的“Kibana”。
- 使用管理员账号登录Kibana页面。
- 账户名:admin(默认管理员账户名)
- 密码:创建安全模式的集群时,设置的管理员密码。
- 登录成功后,在Kibana操作界面的左侧导航栏选择“Security”,进入“Security”页面。
- 给安全集群添加一个新用户“test”。
- 单击导航栏的“Internal users”,进入创建用户页面。
- 在“Internal Users”页面,单击“Create internal user”,进入创建用户信息页面。
图2 添加用户
- 在创建用户页面,输入“Username”、“Password”和“Re-enter password”。此处以用户名“test”为例。
下面还有两个可选参数,供选择配置。参数的详细信息可以单击页面的“Learn more”查看。
- Backend roles:后端角色,后端角色用于将来自外部身份验证系统(如LDAP或SAML)的用户映射到Open Distro安全角色。
- Attributes:属性,Attributes可以用于进一步描述用户,更重要的是,它们可以用作角色的索引权限中的文档级安全性查询中的变量。这使得编写基于用户属性的动态DLS查询成为可能。
- 配置完成后,单击“Create”,创建成功后,可以在列表中看到新创建的用户。
- 创建角色“role_test”,并为角色授权。
- 在“Security”中选择“Roles”,进入Roles页面。页面有系统预置角色,具体的角色权限描述请单击页面的“Learn more”查看,如果预置角色能满足您的要求,建议直接选择预置角色。
- 在Roles页面,单击“Create Role”创建角色权限。
- 设置角色名“Name”,例如“role_test”。
图3 添加角色名称
- 在“Cluster Permissions”设置集群权限。根据业务需要选择相应的集群权限,不配置时表示角色不具有任何集群级别的权限。在此,集群权限我们以cluster_monitor为示例。
说明:
在Elasticsearch中,cluster_monitor权限允许用户监控和观察集群的状态,但不允许进行任何可能会改变集群状态的操作。具体来说,拥有cluster_monitor权限的用户可以执行以下操作:
- 查看集群的健康状态和状态信息。
- 查看集群的节点信息。
- 查看集群的统计信息。
- 查看集群的待处理任务。
- 查看集群的恢复、段信息、索引统计信息和状态。
图4 Cluster Permissions页面 - 在“Index Permissions”设置索引权限。为可选配置。索引权限允许您指定此角色中的用户如何访问特定索引。
- “Index”:配置权限的索引名称,例如,索引模板名称为“my_store”。
说明:
建议索引名称和创建的用户名不要相同。
- “Index permissions”:根据需要开通的权限设置。
- “Index”:配置权限的索引名称,例如,索引模板名称为“my_store”。
- “Tenant Permissions”设置租户权限。为可选配置。Kibana中的租户是用于保存索引模式、可视化、仪表板和其他Kibana对象的空间。默认情况下,所有Kibana用户都可以访问两个租户:私有和全局。全局租户在每个Kibana用户之间共享。私有租户是每个用户独享的,不能共享。关于租户权限的详细解释请单击页面的“Learn more”查看。
- 单击“Create”,保存角色设置,即可在“Roles”列表看到新建的角色。
- 将角色映射到用户,使用户具有角色的权限。
- 在“Security”中选择“Roles”,单击"role_test"角色名称,进入角色详情页面。
- 单击“Mapped users”页签,在Mapped users页面单击“Map user”。
- 在“Map user”页面,单击下拉框选择创建的“test”用户。
- 添加完成后,单击“Map”。
- 配置完成后,验证用户权限是否生效。
- 使用创建的用户“test”登录Kibana。
- 单击左侧导航栏选择“Dev Tools” ,进入操作页面。
- 执行查询集群健康状态的命令GET /_cluster/health?pretty,结果显示200,可以查询到集群的基本情况,表示用户有查看集群状态的权限。
- 执行创建索引命令PUT /my_test,结果显示403,表示没有权限创建索引。
因此,用户“test”只有查看集群状态权限,没有创建索引权限,配置成功。
当需要补充创建索引的权限时,可以根据结果中的报错提示,给角色加上对应的权限即可。