1、安裝文檔:https://www.elastic.co/cn/blog/security-for-elasticsearch-is-now-free
安裝完成效果圖
2、用戶介紹(官方文檔:https://www.elastic.co/guide/en/elastic-stack-overview/7.3/built-in-users.html)
Elastic Stack安全功能提供內置的用戶憑證,以幫助您啟動和運行。這些用戶具有一組固定的特權,只有在設置了密碼后才能進行身份驗證。該elastic用戶可以用來設置所有內置的用戶密碼。
elastic
內置的超級用戶。請參閱內置角色。
kibana
用戶Kibana用於連接Elasticsearch並與之通信。
logstash_system
Logstash用戶在將監控信息存儲在Elasticsearch中時使用。
beats_system
Beats在Elasticsearch中存儲監視信息時使用的用戶。
apm_system
APM服務器在Elasticsearch中存儲監視信息時使用的用戶。
remote_monitoring_user
Metricbeat用戶在Elasticsearch中收集和存儲監視信息時使用。它具有remote_monitoring_agent和 remote_monitoring_collector內置角色。
3、內置角色介紹
Elastic Stack安全功能將默認角色應用於所有用戶,包括 匿名用戶。默認角色使用戶可以訪問身份驗證端點,更改自己的密碼並獲取有關自己的信息。 您還可以顯式分配給用戶一組內置角色。這些角色具有一組固定的特權,無法更新。 apm_system 授予APM系統用戶將系統級數據(例如監視)發送到Elasticsearch所需的訪問權限。
apm_user 授予對於APM用戶(如所需的權限read和 view_index_metadata特權的apm-*和.ml-anomalies*指數)。
beats_admin 授予對.management-beats索引的訪問權限,該索引包含Beats的配置信息。
beats_system 授予Beats系統用戶將系統級數據(例如監視)發送到Elasticsearch所需的訪問權限。 注意: 不應將此角色分配給用戶,因為授予的權限可能會在版本之間發生變化。
該角色不提供對節拍索引的訪問,並且不適合將節拍輸出寫入Elasticsearch。
data_frame_transforms_admin 授予manage_data_frame_transforms群集特權,使您可以管理轉換。該角色還包括針對機器學習功能的所有 Kibana特權。
data_frame_transforms_user 授予monitor_data_fram_transforms群集特權,使您可以使用轉換。該角色還包括針對機器學習功能的所有 Kibana特權。
ingest_admin 授予訪問權限以管理所有索引模板和所有接收管道配置。 注意:這個角色也沒有提供用於創建指數的能力; 這些特權必須在單獨的角色中定義。 kibana_dashboard_only_user 授予對Kibana儀表板的訪問權限和對Kibana的只讀權限。該角色無權使用Kibana中的編輯工具。有關更多信息,請參閱 僅Kibana儀表板模式。
kibana_system 授予Kibana系統用戶讀取和寫入Kibana索引,管理索引模板和令牌以及檢查Elasticsearch集群可用性所必需的訪問權限。該角色授予對.monitoring-*索引的讀取訪問權限以及對索引的讀寫訪問權限.reporting-*。有關更多信息,請參閱在Kibana中配置安全性。 注意:不應將此角色分配給用戶,因為授予的權限可能會在版本之間發生變化。
kibana_user 授予訪問Kibana中所有功能的權限。有關Kibana授權的更多信息,請參見Kibana授權。
logstash_admin 授予訪問.logstash*索引以管理配置的權限。
logstash_system 授予Logstash系統用戶將系統級數據(例如監視)發送到Elasticsearch所需的訪問權限。有關更多信息,請參見 在Logstash中配置安全性。 注意:不應將此角色分配給用戶,因為授予的權限可能會在版本之間發生變化。 該角色不提供對logstash索引的訪問,因此不適合在Logstash管道內使用。
machine_learning_admin 資助manage_ml集群權限,讀取訪問.ml-anomalies*, .ml-notifications*,.ml-state*,.ml-meta*指數和寫入訪問 .ml-annotations*索引。該角色還包括針對機器學習功能的所有 Kibana特權。
machine_learning_user 授予查看機器學習配置,狀態和處理結果所需的最低特權。該角色授予monitor_ml集群特權,對.ml-notifications和.ml-anomalies*索引的讀取訪問權限(存儲機器學習結果)以及對.ml-annotations*索引的寫入訪問權限。該角色還包括針對機器學習功能的所有Kibana特權。
monitoring_user 授予除使用Kibana所需的X-Pack監視用戶所需的最低特權。該角色授予對監視索引的訪問權限,並授予讀取基本群集信息所必需的特權。該角色還包括彈性堆棧監視功能的所有Kibana特權。還應該為監視用戶分配kibana_user角色。
remote_monitoring_agent 授予將數據寫入監視索引(.monitoring-*)所需的最低特權。該角色還具有創建Metricbeat索引(metricbeat-*)並將數據寫入其中所需的特權。
remote_monitoring_collector 授予收集彈性堆棧的監視數據所需的最低特權。
reporting_user 授予X-Pack報告用戶所需的特定特權,而不是使用Kibana所需的特權。該角色授予訪問報告索引的權限;每個用戶只能訪問自己的報告。還應為報告用戶分配一個kibana_user角色和一個角色,以授予他們訪問將用於生成報告的數據的權限。
snapshot_user 授予必要的特權,以創建所有索引的快照並查看其元數據。該角色使用戶可以查看現有快照存儲庫的配置和快照詳細信息。它不授予刪除或添加存儲庫或還原快照的權限。它還不允許更改索引設置或讀取或更新索引數據。
superuser 授予對群集的完全訪問權限,包括所有索引和數據。具有superuser角色的用戶還可以管理用戶和角色,並 模擬系統中的任何其他用戶。由於此角色的允許性質,在將其分配給用戶時要格外小心。
transport_client 授予通過Java Transport Client訪問集群所需的特權。Java Transport Client使用Node Liveness API和Cluster State API(在啟用嗅探功能時)獲取有關集群中節點的信息。如果用戶使用傳輸客戶端,請為其分配此角色。 注意 有效使用傳輸客戶端意味着授予用戶訪問群集狀態的權限。這意味着用戶可以查看所有索引,索引模板,映射,節點以及基本上與集群有關的所有內容的元數據。但是,此角色未授予查看所有索引中的數據的權限。 watcher_admin 授予對.watches索引的讀取訪問權限,對監視歷史記錄和觸發的監視索引的讀取訪問權限,並允許執行所有監視程序操作。
watcher_user 授予對.watches索引,獲取監視操作和監視者統計信息的讀取權限。
4、演示(創建一個能查看所有索引日志的只讀權限,包括儀盤,只提供查看功能)
(1)創建角色
(2)創建用戶
(3)登陸查看(ok完成)
