Elasticsearch権限管理x-pack 6.0のインストールおよびSecurityモジュールの組み込みロールの使用説明
7522 ワード
SSL/TSLおよびca証明書の生成x-packインストール1を構成する.Elasticsearchノードにx-packをインストールする必要はありません
2.elasticsearch 3を起動する.カスタム設定パスワード
3つの内蔵アカウントはヒントに基づいてパスワードを設定します
パスワードの自動生産も可能です
3つの内蔵アカウント
username
role
アクセス権
elastic
superuser
内蔵スーパーユーザー
kibana
kibana_system
ユーザーkibanaはelasticsearchに接続し、通信するために使用されます.Kibanaサーバは、クラスタ監視APIおよび.kibanaインデックス.indexにアクセスできません.
logstash_system
logstash_system
ユーザーLogstashがElasticsearchに監視情報を格納する場合に使用
kibanaでDSL文でパスワードegを設定することもできます.
4.kibana x-packのインストール
5.kibana.ymlに2行追加
7.kibanaの起動
Securityモジュールの使用方法1:インタフェース操作kibana->management->securityモジュール方式2:DSL文ロールベースのアクセス制御
ロール管理API:https://www.elastic.co/guide/en/elasticsearch/reference/6.0/security-api-roles.htmlユーザー管理API:https://www.elastic.co/guide/en/elasticsearch/reference/6.0/security-api-users.htmlユーザーとグループをロールAPIにマップするには、次の手順に従います.https://www.elastic.co/guide/en/x-pack/6.0/mapping-roles.html#ldap-role-mapping設定フィールドとドキュメントレベルのセキュリティ:https://www.elastic.co/guide/en/x-pack/6.0/field-and-document-access-control.htmlセキュリティ特権https://www.elastic.co/guide/en/x-pack/6.0/security-privileges.html#privileges-list-cluster
x-pack内蔵ロールhttps://www.elastic.co/guide/en/x-pack/6.0/built-in-roles.html eg: ingest_admin#は、すべてのインデックステンプレートとすべての摂取パイプ構成を管理するためにアクセス権を付与します.このロールはインデックスを作成する能力を提供できません.これらの特権は、個別のロールで定義する必要があります.kibana_dashboard_only_user#はKibanaダッシュボードへのアクセス権とペアを付与する.kibanaインデックスの読み取り専用権限.このキャラクターはKibanaの編集ツールにアクセスできません.kibana_System#は、KibanaシステムのユーザーにKibanaインデックスの読み取りと書き込みに必要なアクセス権を付与し、インデックステンプレートを管理し、Elasticsearchクラスタの可用性を確認します.このロールはペアに付与されます.monitoring-インデックスの読み取りアクセス権とペア.Reporting-インデックスの読み取りと書き込みアクセス権.kibana_user#はKibanaユーザーに必要な最低限の権限を付与します.このロールは、クラスタにアクセスするKibanaインデックスと監視権限を付与します.logstash_admin#は、構成を管理するためのアクセスを付与する.logstash*インデックスの権限.logstash_System#は、監視などのシステムレベルのデータをElasticsearchに送信するために、Logstashシステムユーザーに必要なアクセス権を付与します.付与された権限が異なるバージョン間で変更される可能性があるため、このロールをユーザーに割り当てるべきではありません.このロールにはlogstashインデックスへのアクセス権はありません.Logstashパイプでは使用できません.machine_learning_admin#付与manage_mlクラスタ権限を読み出します.ml-*インデックスへのアクセス権.machine_learning_user#は、X-Packマシンの学習構成、ステータス、および結果を表示するために必要な最小限の権限を付与します.このロールにmonitor_を付与mlクラスタ特権は、読み取ることができる.ml-notificationsと.ml-anomalies*インデックスは、マシン学習結果を格納します.monitoring_user#は、Kibanaを使用するために必要なX-Packを使用してユーザーを監視する以外のユーザーに必要な最低限の権限を付与します.このロールでは、監視指標にアクセスできます.監視ユーザーもkibana_を割り当てるべきですuserロール.remote_monitoring_Agent#は、リモート監視エージェントがこのクラスタにデータを書き込むために必要な最小限の権限を付与します.reporting_user#は、Kibanaを使用するために必要なX-Packレポートユーザーに必要な特定の権限を付与します.このロールでは、レポートインデックスにアクセスできます.レポート・ユーザーにkibana_を割り当てる必要があります.userロールと、レポートを生成するために使用されるデータにアクセスするロールを付与します.superuser#は、すべてのインデックスとデータを含むクラスタへの完全なアクセス権を付与します.スーパーユーザーロールを持つユーザーは、ユーザーとロールを管理し、システム内の他のユーザーをシミュレートすることもできます.この役割の寛容性のため、ユーザーに割り当てるときは特に注意してください.transport_Client#Javaトランスポートクライアントを介してクラスタへのアクセスに必要な権限を付与します.Javaトランスポートクライアントは、ノードアクティブAPIおよびクラスタ状態API(嗅覚が有効になっている場合)を使用して、クラスタ内のノードに関する情報を取得する.トランスポートクライアントを使用する場合は、ユーザーにこのロールを割り当てます.トランスポートクライアントを使用することは、ユーザがクラスタ状態にアクセスする権限を付与されることを意味します.これは、ユーザーがすべてのインデックス、インデックステンプレート、マッピング、ノード、クラスタの基本的なすべてのコンテンツのメタデータを表示できることを意味します.ただし、このロールでは、すべてのインデックスのデータを表示する権限は付与されません.watcher_admin#付与ペア.watchesインデックスの書き込み権限、監視履歴へのアクセス権限、トリガーされた監視インデックスを読み出し、すべてのモニタ操作を許可します.watcher_user#は読み取りを許可する.watchesインデックスは、動作と観察者の統計を見る権限を取得します.
ロールに割り当てる権限cluster権限
アクセス権
詳細
all
スナップショット、ノードの停止/再起動、更新の設定、ユーザーとロールの再ルーティング、管理などのすべてのクラスタ管理操作.
monitor
クラスタの実行状況、ホットライン、ノード情報、ノードとクラスタ統計、スナップショット/リカバリステータス、クラスタタスクの待機など、すべてのクラスタの読み取り専用操作
monitor_ml
データ転送、ジョブ、モデルスナップショット、または結果に関する情報を取得するなど、すべての読み取り専用マシンが操作を学習します.
monitor_watcher
watchおよびwatcher統計の取得など、すべての読み取り専用操作.
manage
モニタを構築し、クラスタ内の値を変更するクラスタ操作を追加します.これには、スナップショット、設定の更新、再ルーティングが含まれます.この特権には、セキュリティを管理する能力は含まれません.
manage_index_templates
インデックステンプレート上のすべての操作.
manage_ml
データ転送、ジョブ、モデルスナップショットの作成と削除など、すべてのマシンが操作を学習します.データ処理は、すべてのインデックスを読み込む権限を含む、アップグレード特権を持つシステム・ユーザーとして実行されます.
manage_pipeline
パイプのすべての操作を摂取します.
manage_security
ユーザーとロールに対するCRUD操作やキャッシュクリアなど、セキュリティに関連するすべての操作.
manage_watcher
watchesの配置、実行、アクティブ化、または確認など、すべてのオブザーバ操作.Watchesは、すべてのインデックスの読み取りと書き込みを含む、アップグレード特権を持つシステム・ユーザーとして実行されます.Watchesは、すべてのインデックスの読み取りと書き込みを含む、アップグレード特権を持つシステム・ユーザーとして実行されます.
transport_client
クライアント接続を転送するために必要なすべての権限.リモートクラスタでは、レベル間クラスタ検索を有効にする必要があります.
indices権限
アクセス権
詳細
all
インデックス上のアクション
monitor
必要なすべての操作(リカバリ、サブディビジョン、インデックス統計、ステータス)を監視します.
manage
すべてのmonitor特権インデックス管理(別名、分析、キャッシュクリア、クローズ、削除、存在、リフレッシュ、マッピング、オープン、強制マージ、リフレッシュ、設定、スライスの検索、テンプレートの検索、検証).
view_index_metadata
インデックスメタデータ(別名、別名の存在、インデックスの取得、存在、フィールドマッピング、マッピング、検索スライス、タイプの存在、検証、warmers、設定)に読み取り専用アクセスします.この特権は主にKibanaユーザーに使用されます.
read
読み取り専用操作(カウント、解釈、取得、mget、インデックススクリプトの取得、さらにこのように、マルチ浸透/検索/termvector、浸透、スクロール、clear_scroll、検索、推奨、tv).
read_cross_cluster
リモートクラスタからの検索操作に読み取り専用でアクセスします.
index
ファイルをインデックスして更新します.マッピング操作の更新に対するアクセス権も付与されます.
create
索引ファイル.マッピング操作の更新に対するアクセス権も付与されます.
delete
ファイルを削除します.
write
インデックス、ドキュメントの更新と削除、および一括操作を実行する権限など、ドキュメントに対するすべての書き込み操作を実行する権限.マッピング操作の更新に対するアクセス権も付与されます.
delete_index
索引を削除します.
create_index
インデックスを作成します.インデックスの作成要求には、インデックスの作成時にインデックスに追加された別名が含まれる場合があります.この場合、リクエストにはmanage権限があり、インデックスと別名を設定することが望ましい.
elasticsearch-plugin install x-pack2.elasticsearch 3を起動する.カスタム設定パスワード
./bin/x-pack/setup-passwords interactive3つの内蔵アカウントはヒントに基づいてパスワードを設定します
パスワードの自動生産も可能です
./bin/x-pack/setup-passwords auto3つの内蔵アカウント
username
role
アクセス権
elastic
superuser
内蔵スーパーユーザー
kibana
kibana_system
ユーザーkibanaはelasticsearchに接続し、通信するために使用されます.Kibanaサーバは、クラスタ監視APIおよび.kibanaインデックス.indexにアクセスできません.
logstash_system
logstash_system
ユーザーLogstashがElasticsearchに監視情報を格納する場合に使用
kibanaでDSL文でパスワードegを設定することもできます.
POST _xpack/security/user/kibana/_password
{
"password": "elastic"
}4.kibana x-packのインストール
kibana-plugin install x-pack5.kibana.ymlに2行追加
elasticsearch.username: "username"
elasticsearch.password: "password"7.kibanaの起動
Securityモジュールの使用方法1:インタフェース操作kibana->management->securityモジュール方式2:DSL文ロールベースのアクセス制御
eg:
POST /_xpack/security/role/rolename
{
"run_as": [ "clicks_watcher_1" ]
"cluster": [ "monitor" ],
"indices": [
{
"names": [ "events-*" ],
"privileges": [ "read" ],
"field_security" : {
"grant" : [ "category", "@timestamp", "message" ]
},
"query": "{\"match\": {\"category\": \"click\"}}"
}
]
}ロール管理API:https://www.elastic.co/guide/en/elasticsearch/reference/6.0/security-api-roles.htmlユーザー管理API:https://www.elastic.co/guide/en/elasticsearch/reference/6.0/security-api-users.htmlユーザーとグループをロールAPIにマップするには、次の手順に従います.https://www.elastic.co/guide/en/x-pack/6.0/mapping-roles.html#ldap-role-mapping設定フィールドとドキュメントレベルのセキュリティ:https://www.elastic.co/guide/en/x-pack/6.0/field-and-document-access-control.htmlセキュリティ特権https://www.elastic.co/guide/en/x-pack/6.0/security-privileges.html#privileges-list-cluster
x-pack内蔵ロールhttps://www.elastic.co/guide/en/x-pack/6.0/built-in-roles.html eg: ingest_admin#は、すべてのインデックステンプレートとすべての摂取パイプ構成を管理するためにアクセス権を付与します.このロールはインデックスを作成する能力を提供できません.これらの特権は、個別のロールで定義する必要があります.kibana_dashboard_only_user#はKibanaダッシュボードへのアクセス権とペアを付与する.kibanaインデックスの読み取り専用権限.このキャラクターはKibanaの編集ツールにアクセスできません.kibana_System#は、KibanaシステムのユーザーにKibanaインデックスの読み取りと書き込みに必要なアクセス権を付与し、インデックステンプレートを管理し、Elasticsearchクラスタの可用性を確認します.このロールはペアに付与されます.monitoring-インデックスの読み取りアクセス権とペア.Reporting-インデックスの読み取りと書き込みアクセス権.kibana_user#はKibanaユーザーに必要な最低限の権限を付与します.このロールは、クラスタにアクセスするKibanaインデックスと監視権限を付与します.logstash_admin#は、構成を管理するためのアクセスを付与する.logstash*インデックスの権限.logstash_System#は、監視などのシステムレベルのデータをElasticsearchに送信するために、Logstashシステムユーザーに必要なアクセス権を付与します.付与された権限が異なるバージョン間で変更される可能性があるため、このロールをユーザーに割り当てるべきではありません.このロールにはlogstashインデックスへのアクセス権はありません.Logstashパイプでは使用できません.machine_learning_admin#付与manage_mlクラスタ権限を読み出します.ml-*インデックスへのアクセス権.machine_learning_user#は、X-Packマシンの学習構成、ステータス、および結果を表示するために必要な最小限の権限を付与します.このロールにmonitor_を付与mlクラスタ特権は、読み取ることができる.ml-notificationsと.ml-anomalies*インデックスは、マシン学習結果を格納します.monitoring_user#は、Kibanaを使用するために必要なX-Packを使用してユーザーを監視する以外のユーザーに必要な最低限の権限を付与します.このロールでは、監視指標にアクセスできます.監視ユーザーもkibana_を割り当てるべきですuserロール.remote_monitoring_Agent#は、リモート監視エージェントがこのクラスタにデータを書き込むために必要な最小限の権限を付与します.reporting_user#は、Kibanaを使用するために必要なX-Packレポートユーザーに必要な特定の権限を付与します.このロールでは、レポートインデックスにアクセスできます.レポート・ユーザーにkibana_を割り当てる必要があります.userロールと、レポートを生成するために使用されるデータにアクセスするロールを付与します.superuser#は、すべてのインデックスとデータを含むクラスタへの完全なアクセス権を付与します.スーパーユーザーロールを持つユーザーは、ユーザーとロールを管理し、システム内の他のユーザーをシミュレートすることもできます.この役割の寛容性のため、ユーザーに割り当てるときは特に注意してください.transport_Client#Javaトランスポートクライアントを介してクラスタへのアクセスに必要な権限を付与します.Javaトランスポートクライアントは、ノードアクティブAPIおよびクラスタ状態API(嗅覚が有効になっている場合)を使用して、クラスタ内のノードに関する情報を取得する.トランスポートクライアントを使用する場合は、ユーザーにこのロールを割り当てます.トランスポートクライアントを使用することは、ユーザがクラスタ状態にアクセスする権限を付与されることを意味します.これは、ユーザーがすべてのインデックス、インデックステンプレート、マッピング、ノード、クラスタの基本的なすべてのコンテンツのメタデータを表示できることを意味します.ただし、このロールでは、すべてのインデックスのデータを表示する権限は付与されません.watcher_admin#付与ペア.watchesインデックスの書き込み権限、監視履歴へのアクセス権限、トリガーされた監視インデックスを読み出し、すべてのモニタ操作を許可します.watcher_user#は読み取りを許可する.watchesインデックスは、動作と観察者の統計を見る権限を取得します.
ロールに割り当てる権限cluster権限
アクセス権
詳細
all
スナップショット、ノードの停止/再起動、更新の設定、ユーザーとロールの再ルーティング、管理などのすべてのクラスタ管理操作.
monitor
クラスタの実行状況、ホットライン、ノード情報、ノードとクラスタ統計、スナップショット/リカバリステータス、クラスタタスクの待機など、すべてのクラスタの読み取り専用操作
monitor_ml
データ転送、ジョブ、モデルスナップショット、または結果に関する情報を取得するなど、すべての読み取り専用マシンが操作を学習します.
monitor_watcher
watchおよびwatcher統計の取得など、すべての読み取り専用操作.
manage
モニタを構築し、クラスタ内の値を変更するクラスタ操作を追加します.これには、スナップショット、設定の更新、再ルーティングが含まれます.この特権には、セキュリティを管理する能力は含まれません.
manage_index_templates
インデックステンプレート上のすべての操作.
manage_ml
データ転送、ジョブ、モデルスナップショットの作成と削除など、すべてのマシンが操作を学習します.データ処理は、すべてのインデックスを読み込む権限を含む、アップグレード特権を持つシステム・ユーザーとして実行されます.
manage_pipeline
パイプのすべての操作を摂取します.
manage_security
ユーザーとロールに対するCRUD操作やキャッシュクリアなど、セキュリティに関連するすべての操作.
manage_watcher
watchesの配置、実行、アクティブ化、または確認など、すべてのオブザーバ操作.Watchesは、すべてのインデックスの読み取りと書き込みを含む、アップグレード特権を持つシステム・ユーザーとして実行されます.Watchesは、すべてのインデックスの読み取りと書き込みを含む、アップグレード特権を持つシステム・ユーザーとして実行されます.
transport_client
クライアント接続を転送するために必要なすべての権限.リモートクラスタでは、レベル間クラスタ検索を有効にする必要があります.
indices権限
アクセス権
詳細
all
インデックス上のアクション
monitor
必要なすべての操作(リカバリ、サブディビジョン、インデックス統計、ステータス)を監視します.
manage
すべてのmonitor特権インデックス管理(別名、分析、キャッシュクリア、クローズ、削除、存在、リフレッシュ、マッピング、オープン、強制マージ、リフレッシュ、設定、スライスの検索、テンプレートの検索、検証).
view_index_metadata
インデックスメタデータ(別名、別名の存在、インデックスの取得、存在、フィールドマッピング、マッピング、検索スライス、タイプの存在、検証、warmers、設定)に読み取り専用アクセスします.この特権は主にKibanaユーザーに使用されます.
read
読み取り専用操作(カウント、解釈、取得、mget、インデックススクリプトの取得、さらにこのように、マルチ浸透/検索/termvector、浸透、スクロール、clear_scroll、検索、推奨、tv).
read_cross_cluster
リモートクラスタからの検索操作に読み取り専用でアクセスします.
index
ファイルをインデックスして更新します.マッピング操作の更新に対するアクセス権も付与されます.
create
索引ファイル.マッピング操作の更新に対するアクセス権も付与されます.
delete
ファイルを削除します.
write
インデックス、ドキュメントの更新と削除、および一括操作を実行する権限など、ドキュメントに対するすべての書き込み操作を実行する権限.マッピング操作の更新に対するアクセス権も付与されます.
delete_index
索引を削除します.
create_index
インデックスを作成します.インデックスの作成要求には、インデックスの作成時にインデックスに追加された別名が含まれる場合があります.この場合、リクエストにはmanage権限があり、インデックスと別名を設定することが望ましい.