索引管理安全性

将安全插件与索引管理结合使用，可限制非管理员用户执行特定操作。例如，您可能希望将安全性设置为：一组用户只能读取 ISM 策略，而其他用户可以创建、删除或更改策略。

所有索引管理数据都作为系统索引受到保护，只有超级管理员或拥有传输层安全 (TLS) 证书的管理员才能访问系统索引。更多信息请参见系统索引。

基本权限

安全插件提供一个角色，该角色对索引管理具有完全访问权限：index_management_full_access。有关该角色权限的描述，请参见预定义角色。

启用安全功能后，用户不仅需要正确的索引管理权限，还需要执行涉及索引的操作权限。例如，如果用户想要使用 REST API 将一个执行汇总作业的策略附加到名为 system-logs 的索引，他们就需要附加策略和执行汇总作业的权限，以及访问 system-logs 的权限。

最后，除了创建策略 (Create Policy)、获取策略 (Get Policy) 和删除策略 (Delete Policy) 外，用户还需要 indices:admin/opensearch/ism/managedindex 权限才能执行 ISM API。

(高级) 按后端角色限制访问

您可以使用后端角色来配置对索引管理策略和操作的细粒度访问。例如，组织中不同部门的用户可能会根据其分配的角色和权限查看不同的策略。

首先，确保您的用户具有适当的后端角色。后端角色通常来自 LDAP 服务器或 SAML 提供商。但是，如果您使用内部用户数据库，则可以使用 REST API 手动添加它们。

使用 REST API 启用以下设置

PUT _cluster/settings
{
  "transient": {
    "plugins.index_management.filter_by_backend_roles": "true"
  }
}

启用安全功能后，只有共享至少一个后端角色的用户才能查看和执行与其角色相关的策略和操作。

例如，考虑一个有三个用户的场景：John 和 Jill，他们拥有后端角色 helpdesk_staff；以及 Jane，她拥有后端角色 phone_operator。John 想要创建一个策略，对名为 airline_data 的索引执行汇总作业，因此 John 需要一个具有访问该索引、创建相关策略和执行相关操作权限的后端角色，而 Jill 将能够访问相同的索引、策略和作业。然而，Jane 无法访问或编辑这些资源或操作。