3.4.1.5.配置集群安全访问

创作人：刘晓国

Elastic Stack 的组件是不安全的，因为它没有内置的固有安全性。 这意味着任何人都可以访问它。 在生产环境中运行 Elastic Stack 时，这会带来安全风险。 为了防止生产中未经授权的访问，采用了不同的机制来施加安全性，例如在防火墙后运行Elastic Stack并通过反向代理（例如 nginx，HAProxy 等）进行保护。 Elastic提供商业产品来保护 Elastic Stack。 此产品是 X-Pack 的一部分，模块称为安全性。

本文中将介绍如何为我们的 Elasticsearch 索引设置字段级的安全。这样有的字段对有些用户是可见的，而对另外一些用户是不可见的。我们也可以通过对用户安全的设置，使得不同的用户有不同的权限。

User authentication

在 X-Pack 安全性中，安全资源是基于用户的安全性的基础。 安全资源是需要访问以执行

Elasticsearch 集群操作的资源，例如索引，文档或字段。 X-Pack 安全性通过分配给用户的角色的权限来实现。 权限是针对受保护资源的一项或多项特权。 特权是一个命名的组，代表用户可以针对安全资源执行的一个或多个操作。 用户可以具有一个或多个角色，并且用户拥有的总权限集定义为其所有角色的权限的并集，如下图所示：

从上面的图上可以看出来：一个用户可以用多个 role，而每个 role 可以对应多个 permission (权限）。在接下来的练习中，我们来展示如何创建用户，role（角色）以及把permission 分配到每个 role。通过这样的组合，我们可以实现对字段级的安全控制。

《Elastic Stack 实战手册》——三、产品能力——3.4.入门篇——3.4.1.Elastic Stack 安装部署——3.4.1.5.配置集群安全访问(2) https://developer.aliyun.com/article/1231353