Link Search Menu Expand Document Documentation Menu
文档

工作区访问控制列表

2.18 版引入

工作区访问控制列表 (ACL) 管理已保存对象的授权 AuthZ(Authorization),同时为 AuthN(Authentication) 启用 OpenSearch 中的安全性

角色

工作区用例涉及以下关键角色:

  • 仪表板管理员: 对所有 OpenSearch Dashboards 功能和数据拥有完全访问权限。
  • 工作区管理员(也称为所有者): 对特定工作区拥有完全控制权,包括其配置和已保存对象。当工作区创建时,其创建者会自动被指定为工作区所有者角色。
  • 工作区内容生产者: 可以在工作区内查看、创建和更新已保存对象。
  • 工作区查看者: 对工作区中的已保存对象拥有只读访问权限。

角色是工作区特定的,允许用户在不同工作区中扮演不同角色。

启用权限控制

有关说明,请参阅启用 ACL 功能

配置仪表板管理员

要授予对 OpenSearch Dashboards 中所有工作区和对象的完全访问权限,请配置管理员权限。编辑 opensearch_dashboards.yml 文件以通过用户 ID 和后端角色定义管理员,如下所示:

opensearchDashboards.dashboardAdmin.users: ["UserID"]
opensearchDashboards.dashboardAdmin.groups: ["BackendRole"]
savedObjects.permission.enabled: true

默认情况下,配置设置为 [],表示没有用户被指定为管理员。如果未安装安全插件且 savedObjects.permission.enabled: false,则所有用户都被授予管理员权限。

配置全局管理员访问权限

使用此通配符设置将所有用户设置为管理员:

opensearchDashboards.dashboardAdmin.users: ["*"]

配置单个用户的管理员访问权限

使用 admin-user-id 设置配置用户

opensearchDashboards.dashboardAdmin.users: ["admin-user-id"]

按后端角色配置管理员访问权限

使用 admin-role 设置配置用户

opensearchDashboards.dashboardAdmin.groups: ["admin-role"]

管理员限制操作

管理员限制操作包括:

  • 工作区创建
  • 工作区删除
  • 数据源连接
  • 断开数据源与工作区的连接

定义工作区协作者

协作者管理权限仅限于管理员。协作者功能仅在启用权限控制时可用。有关激活权限控制的说明,请参阅启用权限控制。访问级别包括以下内容:

  • 只读: 授予查看工作区及其资产的权限。
  • 读写: 允许查看和编辑工作区内的资产。
  • 管理员: 提供完全访问权限,包括查看和编辑工作区内的资产,以及更新工作区元数据,例如名称、描述、数据源和协作者。

协作者页面上,您可以按协作者 ID 筛选,并按协作者类型和访问级别过滤结果。

添加协作者

工作区创建者被授予管理员访问级别作为协作者。要添加更多协作者,请选择添加协作者按钮,该按钮会显示一个下拉菜单。选择添加用户添加群组以访问相应的模态框来添加新的协作者。

添加用户

要添加用户,请遵循以下步骤:

  1. 选择添加用户按钮以打开模态框。默认情况下,模态框显示一个空的 User ID 字段。
  2. 选择一个访问级别:只读读写管理员
  3. 选择添加其他用户以添加多个用户。不要使用重复或现有的 User ID 字段,以避免错误。
  4. 在最终确定之前解决所有错误。成功添加的用户将显示在协作者表格中。

添加群组

要添加群组,请遵循以下步骤:

  1. 选择添加群组按钮以打开模态框。默认情况下,模态框显示一个空的 Group ID 字段。
  2. 选择一个访问级别:只读读写管理员
  3. 使用添加其他群组以添加多个群组。不要使用重复或现有的 Group ID 字段,以避免错误。
  4. 在最终确定之前解决所有错误。成功添加的用户将显示在协作者表格中。

修改访问级别

如果您拥有所需的权限,在将协作者添加到协作者表格后,您可以修改他们的访问级别。协作者可以被分配任何访问级别。但是,如果所有管理员协作者都被更改为较低的访问级别,那么只有管理员才能管理工作区协作。

修改单个访问级别

要修改单个协作者的访问级别,请遵循以下步骤:

  1. 选择表格行右侧的操作图标。
  2. 从下拉菜单中选择更改访问级别
  3. 从列表中选择所需的访问级别。
  4. 在出现的模态框中确认更改并选择确认。确认后,协作者的访问级别将在表格中更新。

批量修改访问级别

要同时更改多个协作者的访问级别,请遵循以下步骤:

  1. 选择表格中所需的协作者行。
  2. 选择出现的操作按钮。
  3. 从下拉菜单中选择更改访问级别
  4. 从提供的列表中选择新的访问级别。
  5. 审查并确认出现的模态框中的更改。确认后,所有选定协作者的访问级别将在表格中更新。

删除协作者

在将协作者添加到表格后,您可以选择删除他们。删除管理员协作者时请务必谨慎,因为删除所有管理员协作者会将工作区协作者管理权限限制为仅管理员。在最终确定此操作之前,会显示一个确认模态框。

删除单个协作者

要删除单个协作者,请遵循以下步骤:

  1. 选择表格行右侧的 ellipsis icon 图标以显示下拉菜单。
  2. 从下拉菜单中选择删除协作者。将出现一个确认模态框以验证您的操作。
  3. 在模态框中选择确认以从表格中删除该协作者。

批量删除协作者

要同时删除多个协作者,请遵循以下步骤:

  1. 选择表格中要删除的协作者所在的行。将出现一个“删除 x 个协作者”按钮。
  2. 选择删除 x 个协作者按钮。
  3. 查看出现的确认模态框。
  4. 选择确认以从表格中删除所有选定的协作者。

配置工作区隐私

当启用权限控制时,工作区管理员可以设置以下三种访问级别之一:

  • 仅限协作者可见(默认): 只有工作区协作者可以访问工作区。
  • 所有人可查看: 授予所有工作区用户只读权限,允许他们查看工作区资产。
  • 所有人可编辑: 授予所有用户读写权限,允许他们查看、创建和更新工作区资产。

当协作者的个人访问级别与工作区设置中的级别不同时,他们将获得更高的权限。例如,如果工作区隐私设置为“所有人可编辑”,则任何具有只读访问权限的协作者也将能够编辑工作区资产。即使协作者的访问级别与工作区的级别不同,协作级别的用户也会被授予附加权限。您可以作为仪表板管理员创建工作区页面上设置工作区隐私。您还可以作为工作区管理员仪表板管理员协作者工作区详情页面上修改它。

在工作区创建期间设置工作区隐私

在创建新工作区时,使用以下步骤更改工作区隐私设置:

  1. 设置隐私面板中选择所需的访问级别。
  2. 可选 勾选在创建工作区后添加协作者复选框,决定是否在工作区创建后添加协作者。
  3. 选择创建工作区以创建工作区。

协作者页面上修改工作区隐私

使用以下步骤在协作者页面上编辑工作区隐私设置:

  1. 工作区隐私旁边,选择编辑
  2. 从下拉菜单中选择新的访问级别。
  3. 选择保存更改以应用修改。

工作区详情页面上修改工作区隐私

使用以下步骤在工作区详情页面上编辑工作区隐私设置:

  1. 选择详情面板右上角的编辑按钮。
  2. 从下拉菜单中选择新的访问级别。
  3. 选择保存以应用修改。
剩余 350 字符

有问题?

想做贡献?