我浏览了搜索卫士https://docs.search-guard.com/latest/roles-permissions的最新文档,只能找到有关单个权限的简短说明:
单个权限以cluster:或index:开头,后跟 REST样式的路径,可进一步定义权限的确切操作 授予访问权限。
因此一个权限可以位于集群级别或索引级别。
indices:数据/读取/搜索
所以:之前的部分可能是索引或簇,但是我不清楚如何理解分号之后的部分,以及用“ /”分隔的这些部分是什么。
有人可以向我解释一下这个问题,或者指向我可能会错过的一些文档吗?
谢谢
定君
答案 0 :(得分:2)
这实际上与Search Guard不相关,而与Elasticsearch有关。当您与Elasticsearch互动时,例如索引数据或搜索数据,实际上您正在执行 actions 。每个动作都有一个名称,该名称采用您所概述的格式。
例如,看看org.elasticsearch.action.search.SearchAction:
<h3>}
Search Guard的权限架构基于这些Elasticsearch操作名称。因此,命名约定实际上是Elasticsearch命名约定。
Elastic不再发布这些动作名称的列表。在X-Pack Security中,AFAIK实际上无法深入到有关权限的详细程度,这可能就是为什么他们停止这样做的原因。
Search Guard Kibana插件附带了一个权限列表,您可以将其用作准则:
问题是,您是否真的需要在如此细粒度的级别上实现安全性。这就是行动小组的目的。这些是预定义的权限集,应涵盖大多数用例。另外,如果Elasticsearch中的权限发生更改,它们会随每个发行版进行更新,因此使用操作组比依赖单个权限更安全。但与往常一样,这取决于用例。