云搜索服务 CSS-使用OpenSearch Dashboard创建用户并授权:背景信息
下载云搜索服务 CSS用户手册完整版
背景信息
云搜索服务 用opendistro_security安全插件对外提供安全集群能力,opendistro_security安全插件是基于RBAC(Role-Based Access Control)模型构建。RBAC包括三个重要核心概念:用户(User)、权限(Action)、角色(Role)。RBAC简化了用户和权限的关系,降低了权限管理的难度,方便权限扩展易于维护。三者之前的关系如下图所示。
|
参数 |
描述 |
|---|---|
|
Permission |
权限:单个动作,例如创建索引(例如indices:admin/create)。 |
|
Action group |
操作组:表示一组权限。例如,预定义的SEARCH操作组授权角色使用_search和_msearchAPI。 |
|
Role |
角色:定义为权限或操作组的组合,包括对集群,索引,文档或字段的操作权限。 |
|
User |
用户:可以向Elasticsearch集群发出操作请求。用户具有凭证(例如,用户名和密码)、零个或多个后端角色以及零个或多个自定义属性。 |
|
Role mapping |
角色映射:用户在成功进行身份验证后会担任角色,角色映射,就是将角色映射到用户(或后端角色)。例如,kibana_user(角色)到jdoe(用户)的映射意味着John Doe在获得kibana_user身份验证后获得了所有权限。同样,all_access(角色)到admin(后端角色)的映射意味着具有后端角色admin(来自LDAP / Active Directory服务器)的任何用户都获得了all_access身份验证后的所有权限。您可以将每个角色映射到许多用户和/或后端角色。 |
在OpenSearch Dashboard界面的Security菜单中,您可以控制用户在OpenSearch集群中的权限,实现集群、索引、文档和字段四个级别的细粒度访问权限控制。
支持添加或删除集群的用户,并能够将用户映射到角色,实现用户关联角色权限。
角色映射功能允许配置角色的成员,通过用户名、后端角色和主机名将用户分配给相应的角色。支持为每种角色配置集群访问权限、索引和文档的访问权限,以及OpenSearch Dashboard的使用权限。
有关安全集群的更多安全配置信息以及详细的操作指导,可以参考Elasticsearch的安全模式官方介绍。
