Search Guard中的单一权限

时间:2018-08-14 19:43:46

标签: elasticsearch elasticsearch-plugin

我浏览了搜索卫士https://docs.search-guard.com/latest/roles-permissions的最新文档,只能找到有关单个权限的简短说明:

  

单个权限以cluster:或index:开头,后跟   REST样式的路径,可进一步定义权限的确切操作   授予访问权限。

因此一个权限可以位于集群级别或索引级别。

  

indices:数据/读取/搜索

所以:之前的部分可能是索引或簇,但是我不清楚如何理解分号之后的部分,以及用“ /”分隔的这些部分是什么。

有人可以向我解释一下这个问题,或者指向我可能会错过的一些文档吗?

谢谢

定君

1 个答案:

答案 0 :(得分:2)

这实际上与Search Guard不相关,而与Elasticsearch有关。当您与Elasticsearch互动时,例如索引数据或搜索数据,实际上您正在执行 actions 。每个动作都有一个名称,该名称采用您所概述的格式。

例如,看看org.elasticsearch.action.search.SearchAction:

<h3>

}

Search Guard的权限架构基于这些Elasticsearch操作名称。因此,命名约定实际上是Elasticsearch命名约定。

Elastic不再发布这些动作名称的列表。在X-Pack Security中,AFAIK实际上无法深入到有关权限的详细程度,这可能就是为什么他们停止这样做的原因。

Search Guard Kibana插件附带了一个权限列表,您可以将其用作准则:

https://github.com/floragunncom/search-guard-kibana-plugin/blob/6.x/public/apps/configuration/permissions/indexpermissions.js

https://github.com/floragunncom/search-guard-kibana-plugin/blob/6.x/public/apps/configuration/permissions/clusterpermissions.js

问题是,您是否真的需要在如此细粒度的级别上实现安全性。这就是行动小组的目的。这些是预定义的权限集,应涵盖大多数用例。另外,如果Elasticsearch中的权限发生更改,它们会随每个发行版进行更新,因此使用操作组比依赖单个权限更安全。但与往常一样,这取决于用例。