ES 集群访问控制

Recent Pages

ES 集群访问控制

最后更新时间：2020-07-17 11:09:38

ES 集群部署在逻辑隔离的私有网络 VPC 中，客户可以完全掌控自己的环境配置，自定义网络访问控制列表（Access Control List）和安全组。在此基础上，我们还提供了更丰富的能力来切实保证云上资源的安全性，包括：
对腾讯云帐户下资源的 CAM 访问管理（参见 CAM 访问控制配置）。
ES 集群访问密码/ES 集群用户登录认证。
设置 Kibana 外网访问 IP 黑白名单，或限制 Kibana 仅能通过内网访问。
对 ES 集群有限开启外网访问和设置 IP 白名单。
提供的基于角色的访问控制（RBAC）。
设置 ES 集群访问密码
在创建腾讯云 ES 集群时，会要求用户设置默认用户 elastic 的密码，该账号和密码用于 Kibana 页面登录，若集群已开启 ES 集群用户登录认证，则此用户名和密码还会用于 ES 集群的登录认证，提供进一步的安全防护，详情如下：
﻿
﻿
重置 ES 集群访问密码
用户需要调整 ES 集群访问密码时，可以通过集群详情页的密码重置功能对 ES 集群 elastic 账号的密码进行重置，操作页面如下：
﻿
﻿
设置 Kibana 外网访问 IP 黑白名单
由于 Kibana 页面是通过公网访问，在进行密码校验的基础上，ES 还为 Kibana 访问提供了 IP 黑白名单功能，进一步保障用户集群的访问安全性。
配置规则：支持多个 IP，IP 之间以英文逗号分隔，格式为192.168.0.1、192.168.0.0/24，最多支持10个。
黑白名单设置：客户可以设置任意一个，如果黑白名单都配置，以白名单为准。详情如下：
﻿
﻿
限制 Kibana 仅能通过内网访问
如果用户担心公网访问安全性，也可以关闭外网访问，设置仅允许内网访问。
﻿
﻿
有限开启 ES 集群外网访问和设置 IP 白名单
基于安全考虑，ES 集群外网访问是默认关闭的，对于已开启 ES 集群用户登录认证 的集群，允许用户基于使用便捷性的需要开启外网访问，但必须同时设置 IP 白名单以提供安全防护。
﻿
﻿
﻿
基于角色的访问控制（RBAC）
对于已开启 ES 集群用户登录认证 的集群，用户将获得更多安全管理功能。白金版还可以进一步支持基于文档、字段级别的细粒度访问控制，详情请参考 Elastic 官网文档 基于角色的访问控制 。
角色管理
用户可以在 Kibana 的 Management > Security > Roles 中创建、修改和删除具有不同权限组合的角色，详情如下：
﻿
﻿
﻿
用户管理
用户可以在 Kibana 的 Management > Security > Users 中创建、修改（信息修改、密码修改等）和删除具有多个角色的用户，详情如下：
说明：
ES 内置用户 elastic 的密码只能在官网控制台进行重置。
﻿
﻿
﻿
更多相关安全功能使用可以参考：
保护您在 Elastic Stack 中的数据
Kibana XPACK SECURITY
ES SECURITY API