带你读《Elastic Stack 实战手册》之57：——3.5.16.1.Setup and security（下）

《Elastic Stack 实战手册》——三、产品能力——3.5 进阶篇——3.5.16. Machine learning ——3.5.16.1.Setup and security（上） https://developer.aliyun.com/article/1227334

安全权限

 

Elasticsearch 安全权限

 

Elastic Stack 提供了具有安全性相关的权限和角色，可以更轻松地控制哪些用户可以管理或查看机器学习对象，如作业、数据源、结果和模型快照。

如果你想使用机器学习相关的 API， 就必须拥有 machine_learning_admin 或者 machine_learning_user 内置角色，或者其他相同的集群权限以及如下索引权限：

 

完全访问权限：

 

l 具有read 读和 view_index_metadata 查看源索引上的索引元数据权限

l 具有read读、manage管理 和 index 索引目标索引的权限（仅适用于数据集分析任务）

 

只读访问权限：

 

l 具有源索引的 read 索引权限

l 具有目标索引的 read 索引权限（仅适用于数据集分析任务）

Kibana 权限

 

机器学习功能在 Kibana 的 Space 空间中必须可见，并且源索引模式必须与机器学习作业位于同一 Space 空间中。

 

Kibana 能够控制每个 Space 空间内机器学习功能的访问。可以使用 Kibana 的 Stack Management ，管理角色、权限和空间。

 

machine_learning_admin和machine_learning_user角色允许访问所有 Kibana 空间中的机器学习功能。因此，当你使用 Kibana 时，请使用自定义角色，并为每个空间适当设置Kibana权限。

 

完全访问 Kibana 的机器学习功能，需具有以下权限：

 

l 具有 Kibana 机器学习的all（全部）权限

l 具有read(读)和view_index_metadata（查看索引元数据）权限

l 具有目标索引的read（读）、manage（管理）和index（索引）权限（仅用于数据集分析任务）

 

只读访问 Kibana 的机器学习功能，需具有以下权限：

 

l 具有 Kibana 机器学习的read（读）权限

l 具有源索引的read（读）权限

l 具有目标索引的read（读）权限（仅用于数据集分析任务）

 

如果需要通过 File Data Visualizer 上传文件到 Kibana，需具有以下权限：

l 具有 Kibana 机器学习的all(全部)权限，或者，拥有 Kibana 机器学习特性的read（读）权限和 Kibana 的索引模板管理的all（全部）权限

l 具有内置角色ingest_admin

l 具有目标索引的read（读）、manage（管理）和index（索引）权限

内置角色介绍

machine_learning_admin

授予 manage_ml 集群权限，读取访问 .ml-anomalies*， .ml-notifications*，.ml-state*，.ml-meta* 指数和写入访问 .ml-annotations* 索引。该角色还包括针对机器学习功能的所有 Kibana 特权。

 

machine_learning_user

授予查看机器学习配置，状态和处理结果所需的最低特权。该角色授予 monitor_ml 集群特权，对 .ml-notifications 和 .ml-anomalies* 索引的读取访问权限（存储机器学习结果）以及对 .ml-annotations* 索引的写入访问权限。该角色还包括针对机器学习功能的所有 Kibana 特权。

 

ingest_admin

授予访问权限以管理所有索引模板和所有接收管道配置。

注意:这个角色也没有提供用于创建指数的能力; 这些特权必须在单独的角色中定义。

 

【重点】不能限制各个空间中机器学习对象的访问权限。如果机器学习功能在你的空间中可见，并且拥有 Kibana 的read（读）或all（全部）权限，那么就具有对当前空间里所有机器学习对象的权限。

X-Pack 高级特性介绍

 

X-Pack 高级特性是指 Elasticsearch 官方商业特性（原 X-Pack 商业版插件包含的特性），包含了安全（Security）、SQL、机器学习（Machine Learning）、监控（Monitor）等高级功能，可以为 Elasticsearch 服务的应用开发和运维管理，提供更有力的帮助。

l 安全（Security）

l 支持索引和字段级别读写等细分权限的控制管理，实现数据安全防护、业务访问隔离，向正确的人员授予访问权限，阻止恶意破坏和数据泄露，有效的保障数据安全。

 

l 机器学习（Machine Learning）

l 在自定义数据告警的应用场景中，对于较难设置规则和阈值来定义的变化，可通过结合非监督型机器学习来预测数据的变化趋势和合理的波动范围，在数据偏离正常变化趋势时，发出告警通知。

 

l 监控（Monitor）

l 集群、节点、索引多个维度，全方位监控，实时了解集群运行情况，辅助应用开发及运维。

 

l SQL

l 提供了通过传统数据库 SQL 工具 ，实现对 Elasticsearch 数据进行全文本检索、数据统计分析功能，支持 CLI、REST 等接入方式，白金版还支持 JDBC 连接。可以实现同原有业务系统的无缝对接，降低新技术学习成本。