Creating Users for an OpenSearch Cluster and Granting Cluster Access

Эта статья полезна?

Язык статьи: Русский

Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

CSS ограничивает доступ к кластерам в режиме безопасности только уполномоченными пользователями. При создании кластера в режиме безопасности необходимо создать учетную запись администратора. Эта учетная запись администратора может использовать OpenSearch Dashboards для добавления новых пользователей в кластер и предоставления им необходимых разрешений.

Context

CSS использует плагин opendistro_security для предоставления возможностей безопасности кластера. Плагин opendistro_security построен на основе модели RBAC. RBAC включает три основных понятия: пользователь, действие и роль. RBAC упрощает взаимосвязь между пользователями и действиями, упрощает управление разрешениями и облегчает расширение и обслуживание разрешений. На следующем рисунке показана взаимосвязь между этими тремя.

Figure 1 User, action, and role

Table 1 Parameters for creating and authorizing a user on OpenSearch Dashboards
Parameter	Description
Permission	Одиночное разрешение, например, создание индекса (например, indices:admin/create).
Группа действий	Группа действий — это набор разрешений. Например, предопределённые SEARCH группа действий предоставляет ролям разрешения на использование _search и _msearchAPI.
Роль	Роль — это комбинация разрешений или групп действий, включая операционные разрешения на кластеры, индексы, документы или поля.
Пользователь	Пользователь может отправлять запросы операций в кластер OpenSearch. У пользователя есть учетные данные, такие как имя пользователя и пароль, а также ноль или несколько ролей бекэнда и пользовательских атрибутов.
Сопоставление ролей	Пользователю будет назначена роль после успешной аутентификации. Сопоставление ролей означает сопоставление роли пользователю (или бэкэнд‑роль). Например, сопоставление от kibana_user (роль) к jdoe (пользователь) означает, что Джон Доу получает все разрешения kibana_user после аутентификации через kibana_user. Аналогично, сопоставление от all_access (роль) к admin (бэкэнд‑роль) означает, что любой пользователь с бэкэнд‑ролью admin (с LDAP/Active Directory сервера) имеет все разрешения роли all_access после аутентификации. Вы можете сопоставить каждую роль нескольким пользователям или бэкэнд‑ролям.

В OpenSearch Dashboards вы можете настроить разрешения пользователей для кластера OpenSearch в разделе Security для реализации тонкого контроля доступа на четырех уровнях: кластер, индекс, документ и поле.

Пользователи могут быть добавлены или удалены для кластера и сопоставлены с ролями. Таким образом, вы назначаете роли пользователям.

С помощью сопоставления ролей вы можете настроить участников каждой роли и назначать роли пользователям на основе имен пользователей, ролей бекенда и имен хостов. Для каждой роли вы можете настроить разрешения доступа к кластеру, индексу и документу, а также разрешение использовать OpenSearch Dashboards.

Для получения дополнительной информации о конфигурации безопасности для кластера в режиме security и подробного руководства см. официальный документ OpenSearch About Security in OpenSearch.

Constraints

Вы можете настроить имя пользователя, название роли и имя тенанта в OpenSearch Dashboards.

Creating a User and Granting Permissions

Войдите в OpenSearch Дашборд.
1. Войдите в консоль управления CSS.
2. В навигационной панели выберите Кластеры > OpenSearch.
3. Выберите Кластеры в навигационной панели. На Кластеры странице, найдите целевой кластер и щелкните Доступ к Kibana в Операция столбце.
4. Введите имя пользователя администратора и пароль, чтобы войти в OpenSearch Дашборд.
  - Имя пользователя: admin (имя учетной записи администратора по умолчанию)
  - Пароль: Введите пароль администратора, который вы задали при создании кластера в режиме безопасности.
    Рисунок 2 Вход в OpenSearch
Создание пользователя.
1. На OpenSearch Dashboards страница, выберите Безопасность. Этот Безопасность страница отображается.
  Рисунок 3 Переход к странице Безопасность
2. Выберите Внутренние пользователи с левой стороны. Страница создания пользователя отображается.
  Рисунок 4 Создание пользователя
3. Нажмите Создать внутреннего пользователя. Страница конфигурации пользовательской информации отображается.
4. В Учётные данные области, введите имя пользователя и пароль.
  Рисунок 5 Ввод имени пользователя и пароля
5. Нажмите Создать. После создания пользователя он отображается в списке пользователей.
  Рисунок 6 Информация о пользователе
Создайте роль и предоставьте роли разрешения.
1. Выберите Роли из Безопасность выпадающего списка.
2. На Роли странице, щелкните Создать роль. Отображается страница создания роли.
3. В Имя раздел, задайте имя роли.
  Рисунок 7 Задание имени роли
4. В Разрешения кластера странице, задайте разрешение кластера. Задавайте разрешения кластера в соответствии с требованиями сервиса. Если этот параметр не указан для роли, роль не имеет разрешений уровня кластера.
  Рисунок 8 Назначение разрешений уровня кластера
5. В Разрешения индекса раздел, задайте разрешение индекса.
  Рисунок 9 Задание разрешений индекса
6. В Разрешения арендатора странице, задайте разрешения роли.
  Рисунок 10 Разрешения роли
  
  После завершения настройки вы можете просмотреть созданную роль на Роли страница.
Сопоставьте пользователя с ролью, чтобы привязать их.
1. Выбрать Роли из Безопасность выпадающий список.
2. На Роли страница, выберите роль для сопоставления. Страница сопоставления ролей отображена.
3. На Сопоставленные пользователи вкладка, нажмите Сопоставить пользователей и выберите пользователя для сопоставления из пользователи выпадающий список.
4. Нажмите Карта.
5. После завершения настройки вы можете проверить, вступила ли конфигурация в силу в OpenSearch Dashboards.

Родительская тема: Управление кластерами OpenSearch

Поддержка Юридические документы