当前我们提供的Elasticsearch 6.5.4及之后版本集群为您增加了安全模式功能,当您开启后,安全模式将会为您提供身份验证、授权以及加密等功能。
以下功能介绍以kibana可视化界面操作为例。
说明安全模式只能在创建集群时开启。集群创建成功后,不支持开启或者关闭安全模式。
基本名词解释
安全模式名词解释
| 名词 | 描述 |
|---|---|
| Permission | 单个动作,例如创建索引(例如indices:admin/create)。 |
| Action group操作组 | 一组权限。例如,预定义的SEARCH操作组授权角色使用_search和_msearchAPI。 |
| Role角色 | 角色定义为权限或操作组的组合,包括对集群,索引,文档或字段的操作权限。 |
| Backend role后端角色 | (可选)来自授权后端的其他外部角色(例如LDAP / Active Directory)。 |
| User用户 | 用户可以向Elasticsearch集群发出操作请求。用户具有凭证(例如,用户名和密码)、零个或多个后端角色以及零个或多个自定义属性。 |
| Role mapping角色映射 | 用户在成功进行身份验证后会担任角色。角色映射,就是将角色映射到用户(或后端角色)。例如,kibana_user(角色)到jdoe(用户)的映射意味着John Doe在获得kibana_user身份验证后获得了所有权限。同样,all_access(角色)到admin(后端角色)的映射意味着具有后端角色admin(来自LDAP / Active Directory服务器)的任何用户都获得了all_access身份验证后的所有权限。您可以将每个角色映射到许多用户和/或后端角色。 |
身份验证
安全模式开启后,需要使用您创建集群时设置的用户名和密码进行登录操作,登录集群后才能进行其他操作。
详见下图:身份验证登录
授权
在kibana使用界面您可以在Security菜单中控制用户在ES集群中的权限,并且可以针对集群、索引、文档和字段四个级别进行分层权限设置。
您可以增删用户,并将用户映射到角色类型设置权限。
详见下图: 用户设置
可以使用角色映射配置角色成员,可使用用户名、后端角色和主机名将用户分配给角色。
详见下图: 角色映射
可以设置每种角色的集群访问权限、索引和文档访问权限以及kibana租户。
详见下图: 角色权限设置
可以设置操作组,并将操作组分配给角色配置角色对索引和文档类型的访问权限。
详见下图: 操作组设置
可以查询集群当前设置的身份验证及授权模块的参数。使用securityadmin命令行可修改相关配置。
详见下图: 集群参数查看
最后,安全模块还为您提供了清除所有安全缓存的功能。
详见下图: 安全缓存清除
加密
当您使用节点对节点传输或者HTTP传输方式传输关键数据时,可以借助SSL/TLS加密,对数据安全进行保护。
以上功能除了可以使用Kibana可视化界面操作,还可以使用.yml文件(不推荐)和REST API操作。
重置密码
当您想要更换安全模式集群的登录密码,或者忘记密码时,可以对集群密码进行重置。
1.在集群管理控制页面,选择需要重置密码的集群,单击集群名称,进入集群基本信息页面。
2.在“基本信息”页面,单击“重置密码”后的“重置”,重置新密码。
说明
可输入的字符串长度为8-32个字符。
密码至少包含大写字母,小写字母,数字和特殊字符中的三类,不能包含空格。
不能与用户名或倒序的用户名相同。
建议定期修改密码。
