可观测性安全
您可以在 OpenSearch 中将安全插件与可观测性结合使用,以限制非管理员用户的特定操作。例如,您可能希望某些用户只能查看可视化、笔记本和其他可观测性对象,而其他用户则可以创建和修改它们。
基本权限
安全插件有两个内置角色,涵盖了大多数可观测性用例:observability_full_access 和 observability_read_access。有关每个角色的描述,请参阅预定义角色。如果您在 OpenSearch Dashboards 中没有看到这些预定义角色,可以使用以下命令创建它们
PUT _plugins/_security/api/roles/observability_read_access
{
"cluster_permissions": [
"cluster:admin/opensearch/observability/get"
]
}
PUT _plugins/_security/api/roles/observability_full_access
{
"cluster_permissions": [
"cluster:admin/opensearch/observability/*"
]
}
如果这些角色不符合您的需求,您可以混合和匹配单个可观测性权限以适应您的用例。例如,cluster:admin/opensearch/observability/create 权限允许您创建可观测性对象(可视化、操作面板、笔记本等)。
以下是提供可观测性访问权限的角色示例
PUT _plugins/_security/api/roles/observability_permissions
{
"cluster_permissions": [
"cluster:admin/opensearch/observability/create",
"cluster:admin/opensearch/observability/update",
"cluster:admin/opensearch/observability/delete",
"cluster:admin/opensearch/observability/get"
],
"index_permissions": [{
"index_patterns": [".opensearch-observability"],
"allowed_actions": ["write", "read", "search"]
}],
"tenant_permissions": [{
"tenant_patterns": ["global_tenant"],
"allowed_actions": ["opensearch_dashboards_all_write"]
}]
}