3.4.1.5.配置集群安全访问
创作人:刘晓国
Elastic Stack 的组件是不安全的,因为它没有内置的固有安全性。 这意味着任何人都可以访问它。 在生产环境中运行 Elastic Stack 时,这会带来安全风险。 为了防止生产中未经授权的访问,采用了不同的机制来施加安全性,例如在防火墙后运行Elastic Stack并通过反向代理(例如 nginx,HAProxy 等)进行保护。 Elastic提供商业产品来保护 Elastic Stack。 此产品是 X-Pack 的一部分,模块称为安全性。
本文中将介绍如何为我们的 Elasticsearch 索引设置字段级的安全。这样有的字段对有些用户是可见的,而对另外一些用户是不可见的。我们也可以通过对用户安全的设置,使得不同的用户有不同的权限。
User authentication
在 X-Pack 安全性中,安全资源是基于用户的安全性的基础。 安全资源是需要访问以执行
Elasticsearch 集群操作的资源,例如索引,文档或字段。 X-Pack 安全性通过分配给用户的角色的权限来实现。 权限是针对受保护资源的一项或多项特权。 特权是一个命名的组,代表用户可以针对安全资源执行的一个或多个操作。 用户可以具有一个或多个角色,并且用户拥有的总权限集定义为其所有角色的权限的并集,如下图所示:
从上面的图上可以看出来:一个用户可以用多个 role,而每个 role 可以对应多个 permission (权限)。在接下来的练习中,我们来展示如何创建用户,role(角色)以及把permission 分配到每个 role。通过这样的组合,我们可以实现对字段级的安全控制。
《Elastic Stack 实战手册》——三、产品能力——3.4.入门篇——3.4.1.Elastic Stack 安装部署——3.4.1.5.配置集群安全访问(2) https://developer.aliyun.com/article/1231353