云搜索服务 CSS-创建OpenSearch集群用户并授权使用:背景信息

时间:2024-12-19 10:11:10

背景信息

云搜索服务 用opendistro_security安全插件对外提供安全集群能力,opendistro_security安全插件是基于RBAC(Role-Based Access Control)模型构建。RBAC包括三个重要核心概念:用户(User)、权限(Action)、角色(Role)。RBAC简化了用户和权限的关系,降低了权限管理的难度,方便权限扩展易于维护。三者之前的关系如下图所示。

图1 用户、权限和角色
表1 OpenSearch Dashboard创建用户和授权

参数

描述

Permission

权限:单个动作,例如创建索引(例如indices:admin/create)。

Action group

操作组:表示一组权限。例如,预定义的SEARCH操作组授权角色使用_search和_msearchAPI。

Role

角色:定义为权限或操作组的组合,包括对集群,索引,文档或字段的操作权限。

User

用户:可以向Elasticsearch集群发出操作请求。用户具有凭证(例如,用户名和密码)、零个或多个后端角色以及零个或多个自定义属性。

Role mapping

角色映射:用户在成功进行身份验证后会担任角色,角色映射,就是将角色映射到用户(或后端角色)。例如,kibana_user(角色)到jdoe(用户)的映射意味着John Doe在获得kibana_user身份验证后获得了所有权限。同样,all_access(角色)到admin(后端角色)的映射意味着具有后端角色admin(来自LDAP / Active Directory服务器)的任何用户都获得了all_access身份验证后的所有权限。您可以将每个角色映射到许多用户和/或后端角色。

在OpenSearch Dashboard界面的Security菜单中,您可以控制用户在OpenSearch集群中的权限,实现集群、索引、文档和字段四个级别的细粒度访问权限控制。

支持添加或删除集群的用户,并能够将用户映射到角色,实现用户关联角色权限。

角色映射功能允许配置角色的成员,通过用户名、后端角色和主机名将用户分配给相应的角色。支持为每种角色配置集群访问权限、索引和文档的访问权限,以及OpenSearch Dashboard的使用权限。

有关安全集群的更多安全配置信息以及详细的操作指导,可以参考Elasticsearch的安全模式官方介绍

support.huaweicloud.com/usermanual-css/css_01_0329.html