Search Guard1.1 配置角色和权限
在Search Guard 1.0 中,我们新增了用户,且分配到hr_department组内。
接下来我们讲角色和权限配置。
本文内容主要如下:
-
配置角色和权限
-
定义角色结构
-
配置Search Guard角色
-
上传配置变化
配置角色和权限
Search Guard角色定义了这个角色的用户访问权限,包括:
-
集群级别(社区)
e.g. 访问集群健康状态 -
索引级别(社区)
e.g. 用户对于声明索引的读的权限 -
文档级别(企业)
e.g. 文档允许用户去看 -
字段级别(企业)
e.g. 文档中的字段允许用户去看
对于这些用户,你可以配置这些角色通过使用sgadmin命令、REST API或者Kibana Config GUI。
通过使用角色映射,用户被分配给Search Guard角色。我们将定义我们的角色,且在下一节定义角色结构中映射用户。
定义角色结构
这些内部用户,你在sg-roles.yml文件中定义Search Guard 角色。
<ES installation directory>/plugins/search-guard-7/sgconfig/sg_roles.yml
在你上传这个文件给集群,且使用sgadmin工具命令之后,对于这些将变化的配置将变得有效。
这些接触的角色结构如下
<rolename>:
cluster_permissions:
- <cluster permission>
index_permissions:
- index_patterns:
- <index pattern>
allowed_actions:
- <index permissions>
Search Guard 船将会构建行动组,覆盖大多数普通用例。
我们将会使用这些行动组去赋予我们索引的访问权限。
3.配置Search Guard角色
在下面的例子中,创建两种角色:
- sg_human_resources
- 给索引humanresources只读权限
- sg_devops
- 赋予索引infrastructure读和写的权限
- 赋予以logs-开头的所有索引只读权限
这个角色定义如下
sg_human_resources:
cluster_permissions:
- "SGS_CLUSTER_COMPOSITE_OPS"
index_permissions:
- index_patterns:
- "humanresources"
allowed_actions:
- "SGS_READ"
这里我们在集群级别应用了默认的SGS_CLUSTER_COMPOSITE_OPS,且赋予索引humanresources --> SGS_READ权限。即如果一个用户仅仅拥有这个角色,那么除了humanresources索引可以访问,其他都不行。
当我们使用第二种角色的时后,这个索引的名称可以使用***正则表达式和通配符***。
sg_devops
sg_devops:
cluster_permissions:
- "SGS_CLUSTER_COMPOSITE_OPS"
index_permissions:
- index_patterns:
- "infrastructure"
allowed_actions:
- SGS_READ
- SGS_WRITE
- index_patterns:
- "logs-*"
allowed_actions:
- SGS_READ
这个角色赋予了索引infrastructure读和写的权限。赋予索引以logs-开头的只读权限。例如,后者可以使用于日期索引,如每日滚动日志数据索引。
4.上传改变的配置
为了激活改变的配置,我们需要上传它,通过使用sgadmin.sh工具命令执行。我们将执行相同的步骤在下一节中。
进入目录
cd <ES installation directory>/plugins/search-guard-7/tools/
且执行:
./sgadmin_demo.sh
643
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
