CSS ограничивает доступ к кластерам в режиме безопасности только авторизованными пользователями. При создании кластера в режиме безопасности необходимо создать учетную запись администратора. Эта учетная запись администратора может использовать OpenSearch Dashboards для добавления новых пользователей к кластеру и предоставления им необходимых разрешений.
Контекст
CSS использует плагин opendistro_security для обеспечения возможностей безопасного кластера. Плагин opendistro_security построен на основе модели RBAC. RBAC включает три основные понятия: пользователь, действие и роль. RBAC упрощает взаимосвязь между пользователями и действиями, упрощает управление разрешениями и облегчает расширение и обслуживание разрешений. На следующем рисунке показана взаимосвязь между этими тремя.
Рисунок 1 Пользователь, действие и роль
Параметр | Описание |
|---|---|
Разрешение | Одно разрешение, например, создание индекса (например, indices:admin/create). |
Группа действий | Группа действий — это набор разрешений. Например, предопределённый SEARCH Группа действий предоставляет ролям разрешения на использование _search и _msearch APIs. |
Роль | Роль — это комбинация разрешений или групп действий, включая операционные разрешения на кластеры, индексы, документы или поля. |
Пользователь | Пользователь может отправлять операционные запросы в кластер OpenSearch. Пользователь имеет учётные данные, такие как имя пользователя и пароль, а также ноль или несколько ролей бэкенда и пользовательских атрибутов. |
Отображение ролей | Пользователю будет назначена роль после успешной аутентификации. Привязка ролей означает сопоставление роли пользователю (or a backend role). Например, сопоставление от Dashboards_user (role) к Bob (user) означает, что Bob получает все разрешения для Dashboards_user после аутентификации. Аналогично, сопоставление от all_access (role) к admin (backend role) означает, что любой пользователь с backend role admin (from the LDAP/Active Directory server) имеет все разрешения роли all_access после аутентификации. Вы можете сопоставлять каждую роль нескольким пользователям или backend ролям. |
В OpenSearch Dashboards вы можете настроить разрешения пользователей на кластере OpenSearch в разделе Безопасность реализовать детализированный контроль доступа на четырёх уровнях: кластер, индекс, документ и поле.
Пользователи могут быть добавлены или удалены для кластера и сопоставлены с ролями. Таким образом, вы назначаете роли пользователям.
С помощью сопоставления ролей вы можете настроить участников каждой роли и назначать роли пользователям на основе имён пользователей, backend‑ролей и имён хостов. Для каждой роли вы можете настроить разрешения доступа к кластеру, индексу и документу, а также разрешение на использование OpenSearch Dashboards.
Для получения дополнительной информации о настройке безопасности для кластера в режиме безопасности и подробного руководства см. официальный документ OpenSearch О безопасности в OpenSearch.
Ограничения
Вы можете настроить имя пользователя, имя роли и имя арендатора в OpenSearch Dashboards.
Создание пользователя и предоставление разрешений
- Войдите в OpenSearch Dashboards.
- Войдите в консоль управления CSS.
- В левой навигационной панели выберите .
- В списке кластеров найдите нужный кластер, щелкните Dashboards в Операция столбце, и используйте учетную запись администратора, чтобы войти в OpenSearch Dashboards.
- Имя пользователя: admin (имя учетной записи администратора по умолчанию)
- Пароль: Введите пароль администратора, который вы установили при создании кластера в режиме безопасности.
- Создание пользователя.
- На OpenSearch Dashboards странице, выберите Безопасность. Эта Безопасность страница отображается.
Рисунок 2 Переход к странице Безопасность
- Выберите Внутренние пользователи слева. Страница создания пользователя отображается.
Рисунок 3 Создание пользователя
- Нажмите Создать внутреннего пользователя. Страница конфигурации информации пользователя отображается.
- В Учётные данные области, введите имя пользователя и пароль.
Рисунок 4 Ввод имени пользователя и пароля
- Нажмите Создать. После создания пользователя он отображается в списке пользователей.
Рисунок 5 Информация о пользователе
- На OpenSearch Dashboards странице, выберите Безопасность. Эта Безопасность страница отображается.
- Создать роль и предоставить разрешения роли.
- Выбрать Роли из Безопасность выпадающий список.
- На Роли странице, нажмите Создать роль. Отображается страница создания роли.
- В Имя поле, задайте имя роли.
Рисунок 6 Установка имени роли
- На Разрешения кластера страница, задайте разрешение кластера. Задайте разрешения кластера в соответствии с требованиями сервиса. Если этот параметр не указан для роли, роль не имеет разрешений уровня кластера.
Рисунок 7 Назначение разрешений уровня кластера
- В Разрешения индекса область, задайте разрешение индекса.
Рисунок 8 Настройка разрешений индекса
- На Разрешения тенанта страница, задайте разрешения роли.
Рисунок 9 Разрешения роли
После завершения настройки вы можете просмотреть созданную роль на Роли страница.
- Сопоставьте пользователя с ролью, чтобы привязать их.
- Выберите Роли из Безопасность выпадающий список.
- На Роли страница, выберите роль для сопоставления. Страница сопоставления роли отображается.
- На Сопоставленные пользователи вкладке, щелкните Сопоставить пользователей и выберите пользователя для сопоставления из пользователи выпадающий список.
- Щелкните Сопоставить.
- После завершения настройки вы можете проверить, применена ли настройка в OpenSearch Дашборд.