背景:
Open Distro for Elasticsearch是 AWS 2019年宣布開源的 Elasticsearch 發行版,采用Apache 2.0許可證,其中不僅包含了Elasticsearch和Kibana,還提供了包括高級安全功能、事件監視和告警、性能分析、SQL查詢等企業級性能優化。我們也可以理解其為開源版xpack插件的elasticsearch。
通過Security插件進行用戶授權
Open Distro中的Security插件可以支持多個級別的權限控制,且能在搜索組件Elasticsearch和Opensearch之間具備平行遷移能力,但在了解其操作流程前,需要先明確幾個概念:
open_distro_security 提供了RBAC(基于角色的訪問控制),簡單來說就是:先創建角色,角色擁有一系列權限,再把角色賦予用戶,最后計算得出某個用戶具體擁有哪些權限。
- 可分配資源:集群(cluster)和索引(index)
- 權限(permission),這是指很細顆粒度的權限,系統內置默認很多,但不建議直接賦權給用戶,推薦使用權限組
- 權限組(permission group)有通用的、集群級別、索引級別,支持多選,支持自己創建,建議使用默認。
- 角色(Role)將各種權限付諸之上,可以為用戶分配角色。
- 用戶(User)集群的用戶,可以登陸Kibana/Dashborad,訪問集群等。
- 租戶(Tenants):租戶是用于保存索引模版、可視化內容、控制面板和其他控制面板對象的空間。
操作流程
1、如果系統內默認的沒有符合要求的Role可以新建
可以看到內部有對集群和索引的權限設置入口,注意配置索引時,需要用* 來概括后綴,此處會自動生成索引模板。
2、創建用戶
3、租戶管理
多租戶可讓用戶安全地與其他控制面板用戶共享工作(或保持用戶自己工作內容的私密性)并動態配置租戶。
用戶可以控制哪些角色有權訪問租戶,以及這些角色是否具有讀取或寫入訪問權限。
3.1 創建租戶
3.2 綁定Role
這樣,這些定制化租戶可以共享可視化的一些內容
3.3 驗證
租戶登錄選擇&顯示
當用role1_user登錄的時候,就可以選擇并顯示租戶,并且可以切換租戶
一些幫助理解的Tips
- 管理員admin是最高權限的,是內置的,可以看到任何用戶、任何租戶下的東西,上帝視角,完全無隔離。
- 多用戶存在于搜索組件(Elasticsearch&OpenSearch)的概念,主要是針對索引、集群等數據相關安全管控措施。
- 多租戶是存在于Kibana&Dashboard的概念,主要是針對可視化看板、索引模版等等面板上可視化相關的共享權限管理。
- 有且僅有admin用戶能夠看到Security的標識,其他用戶看不到。
