使用 API 密钥授予访问权限
编辑使用 API 密钥授予访问权限编辑
您可以使用 API 密钥(而不是用户名和密码)来授予对 Elasticsearch 资源的访问权限。您可以将 API 密钥设置为在特定时间过期,也可以显式使其失效。拥有 manage_api_key 或 manage_own_api_key 集群权限的任何用户都可以创建 API 密钥。
Winlogbeat 实例通常会将收集的数据和监控信息发送到 Elasticsearch。如果您要将两者都发送到同一个集群,则可以使用同一个 API 密钥。对于不同的集群,您需要为每个集群使用一个 API 密钥。
出于安全原因,我们建议每个 Winlogbeat 实例使用唯一的 API 密钥。您可以根据需要为每个用户创建任意数量的 API 密钥。
在为 Winlogbeat 创建 API 密钥之前,请先查看授予用户对受保护资源的访问权限。
创建用于发布的 API 密钥编辑
要创建用于将数据写入 Elasticsearch 的 API 密钥,请使用创建 API 密钥 API,例如:
POST /_security/api_key
{
"name": "winlogbeat_host001",
"role_descriptors": {
"winlogbeat_writer": {
"cluster": ["monitor", "read_ilm", "read_pipeline"],
"index": [
{
"names": ["winlogbeat-*"],
"privileges": ["view_index_metadata", "create_doc", "auto_configure"]
}
]
}
}
}
|
API 密钥的名称 |
|
|
授予的权限,请参阅授予用户对受保护资源的访问权限 |
有关发布事件所需的权限列表,请参阅创建发布用户。
返回值将如下所示:
现在,您可以在 winlogbeat.yml 配置文件中像这样使用此 API 密钥:
|
格式为 |
创建用于监控的 API 密钥编辑
要创建用于将监控数据发送到 Elasticsearch 的 API 密钥,请使用创建 API 密钥 API,例如:
POST /_security/api_key
{
"name": "winlogbeat_host001",
"role_descriptors": {
"winlogbeat_monitoring": {
"cluster": ["monitor"],
"index": [
{
"names": [".monitoring-beats-*"],
"privileges": ["create_index", "create"]
}
]
}
}
}
|
API 密钥的名称 |
|
|
授予的权限,请参阅授予用户对受保护资源的访问权限 |
有关发送监控数据所需的权限列表,请参阅创建监控用户。
返回值将如下所示:
现在,您可以在 winlogbeat.yml 配置文件中像这样使用此 API 密钥:
|
格式为 |
详细了解 API 密钥编辑
有关更多信息,请参阅 Elasticsearch API 密钥文档: