访问控制
在您配置安全插件以使用您自己的证书和首选认证后端后,您可以开始添加用户、创建角色并将角色映射到用户。
本节文档涵盖用户成功认证后允许查看和执行的操作。
概念
| 词项 | 描述 |
|---|---|
| 权限 | 单个操作,例如创建索引(例如 indices:admin/create)。有关完整列表,请参阅权限。 |
| 操作组 | 一组权限。例如,预定义 SEARCH 操作组授权角色使用 _search 和 _msearch API。 |
| 角色 | 安全角色定义权限或操作组的范围:集群、索引、文档或字段。例如,名为 delivery_analyst 的角色可能没有集群权限,对所有匹配 delivery-data-* 模式的索引具有 READ 操作组权限,可访问这些索引中的所有文档类型,并可访问除 delivery_driver_name 之外的所有字段。 |
| 后端角色 | (可选)后端角色是由 LDAP/Active Directory 等外部认证系统分配给用户或用户组的特定标识符。您可以将这些权限分配给后端角色,而不是映射到单个用户,这可以显著简化角色映射过程。例如,如果组织中的 100 个用户共享一个共同功能,他们都可以被分配相同的后端角色。使用这种方法,您只需将角色映射到后端角色标识符,而无需单独映射每个用户。 |
| 用户 | 用户向 OpenSearch 集群发出请求。用户具有凭据(例如用户名和密码)、零个或多个后端角色以及零个或多个自定义属性。 |
| 角色映射 | 用户成功认证后担任角色。角色映射将角色映射到用户(或后端角色)。例如,kibana_user(角色)到 jdoe(用户)的映射意味着 John Doe 在认证后获得 kibana_user 的所有权限。同样,all_access(角色)到 admin(后端角色)的映射意味着任何具有 admin 后端角色的用户在认证后获得 all_access 的所有权限。您可以将每个角色映射到多个用户和/或后端角色。 |
安全插件附带了许多预定义的操作组、角色、映射和用户。这些实体作为合理的默认值,并且是使用该插件的良好示例。