« 用户授权 定义角色 »
Elastic 文档 Elasticsearch 指南 [8.17] 保护 Elastic Stack 用户授权

内置角色

编辑

内置角色

编辑

Elastic Stack 安全功能为所有用户应用默认角色,包括匿名用户。默认角色允许用户访问身份验证端点、更改自己的密码以及获取关于他们自己的信息。

还有一组内置角色可以显式分配给用户。这些角色具有固定的权限集,不能更新。

apm_system
授予 APM 系统用户将系统级数据(如监控)发送到 Elasticsearch 所需的访问权限。
apm_user
授予 APM 用户所需的权限(例如对 apm-*.ml-anomalies* 索引的 readview_index_metadata 权限)。 [7.13.0] 在 7.13.0 中已弃用。有关替代方案,请参阅 APM 应用用户和权限
beats_admin
授予对 .management-beats 索引的访问权限,该索引包含 Beats 的配置信息。
beats_system

授予 Beats 系统用户将系统级数据(如监控)发送到 Elasticsearch 所需的访问权限。

  • 此角色不应分配给用户,因为授予的权限可能会在版本之间发生变化。
  • 此角色不提供对 beats 索引的访问权限,不适合将 beats 输出写入 Elasticsearch。
data_frame_transforms_admin
授予 manage_data_frame_transforms 集群权限,使您能够管理转换。此角色还包括机器学习功能的所有 Kibana 权限 [7.5.0] 在 7.5.0 中已弃用。已替换为 transform_admin
data_frame_transforms_user
授予 monitor_data_frame_transforms 集群权限,使您能够使用转换。此角色还包括机器学习功能的所有 Kibana 权限 [7.5.0] 在 7.5.0 中已弃用。已替换为 transform_user
editor

授予对 Kibana 中所有功能(包括解决方案)的完全访问权限以及对数据索引的只读访问权限。

  • 此角色提供对任何不以点开头的索引的读取访问权限。
  • 此角色会在新 Kibana 功能发布后立即自动授予对其的完全访问权限。
  • 某些 Kibana 功能可能还需要创建或写入数据索引的权限。机器学习数据框架分析作业就是一个例子。对于此类功能,这些权限必须在单独的角色中定义。
enrich_user
授予管理所有富化索引 (.enrich-*) 和摄取管道上的所有操作的访问权限。
inference_admin
提供 inference_user 角色的所有权限以及 {inference} API 的完全使用权。授予 manage_inference 集群权限。
inference_user
提供查看 {inference} 配置和执行推理所需的最低权限。授予 monintor_inference 集群权限。
ingest_admin

授予管理所有索引模板和所有摄取管道配置的访问权限。

此角色提供创建索引的能力;这些权限必须在单独的角色中定义。

kibana_dashboard_only_user
(此角色已弃用,请改用 Kibana 功能权限)。授予对每个 Kibana 空间中 Kibana 仪表板的只读访问权限。此角色无权访问 Kibana 中的编辑工具。
kibana_system

授予 Kibana 系统用户读取和写入 Kibana 索引、管理索引模板和令牌以及检查 Elasticsearch 集群可用性所需的访问权限。它还允许激活、搜索和检索用户配置文件,以及更新 kibana-* 命名空间的用户配置文件数据。此角色授予对 .monitoring-* 索引的读取访问权限以及对 .reporting-* 索引的读写访问权限。有关详细信息,请参阅 在 Kibana 中配置安全

此角色不应分配给用户,因为授予的权限可能会在版本之间发生变化。

kibana_admin
授予对 Kibana 中所有功能的访问权限。有关 Kibana 授权的更多信息,请参阅 Kibana 授权
kibana_user
(此角色已弃用,请改用 kibana_admin 角色。)授予对 Kibana 中所有功能的访问权限。有关 Kibana 授权的更多信息,请参阅 Kibana 授权
logstash_admin
授予对 .logstash* 索引的访问权限,以管理配置,并授予 logstash x-pack 插件公开的特定于 logstash 的 API 所需的访问权限。
logstash_system

授予 Logstash 系统用户将系统级数据(如监控)发送到 Elasticsearch 所需的访问权限。有关详细信息,请参阅 在 Logstash 中配置安全

  • 此角色不应分配给用户,因为授予的权限可能会在版本之间发生变化。
  • 此角色不提供对 logstash 索引的访问权限,不适合在 Logstash 管道中使用。
machine_learning_admin
提供 machine_learning_user 角色的所有权限以及机器学习 API 的完全使用权。授予 manage_ml 集群权限,对 .ml-anomalies*.ml-notifications*.ml-state*.ml-meta* 索引的读取访问权限和对 .ml-annotations* 索引的写入访问权限。机器学习管理员还需要源和目标索引的索引权限以及授予 Kibana 访问权限的角色。请参阅 机器学习安全权限
machine_learning_user
授予查看机器学习配置、状态和处理结果所需的最低权限。此角色授予 monitor_ml 集群权限,对 .ml-notifications.ml-anomalies* 索引(存储机器学习结果)的读取访问权限,以及对 .ml-annotations* 索引的写入访问权限。机器学习用户还需要源和目标索引的索引权限以及授予 Kibana 访问权限的角色。请参阅 机器学习安全权限
monitoring_user
授予 X-Pack 监控的任何用户所需的最低权限,但使用 Kibana 所需的权限除外。此角色授予对监控索引的访问权限,并授予读取基本集群信息所需的权限。此角色还包括 Elastic Stack 监控功能的所有 Kibana 权限。监控用户还应分配 kibana_admin 角色或具有 访问 Kibana 实例权限 的其他角色。
remote_monitoring_agent
授予将数据写入监控索引 (.monitoring-*) 所需的最低权限。此角色还具有创建 Metricbeat 索引 (metricbeat-*) 并将数据写入其中的必要权限。
remote_monitoring_collector
授予收集 Elastic Stack 监控数据所需的最低权限。
reporting_user
授予 X-Pack 报告用户所需的特定权限,但使用 Kibana 所需的权限除外。此角色授予对报告索引的访问权限;每个用户只能访问自己的报告。报告用户还应被分配其他角色,这些角色授予 访问 Kibana 的权限以及对将用于生成报告的索引的读取访问权限。
rollup_admin
授予 manage_rollup 集群权限,使您能够管理和执行所有汇总操作。
rollup_user
授予 monitor_rollup 集群权限,使您能够执行与汇总相关的只读操作。
snapshot_user
授予创建所有索引的快照和查看其元数据所需的权限。此角色允许用户查看现有快照存储库和快照详细信息的配置。它不授予删除或添加存储库或还原快照的权限。它也不允许更改索引设置或读取或更新数据流或索引数据。
superuser

授予对集群管理和数据索引的完全访问权限。此角色还授予对 .security 等受限索引的直接只读访问权限。具有 superuser 角色的用户可以模拟系统中的任何其他用户。

在 Elastic Cloud 上,所有标准用户,包括具有 superuser 角色的用户,都被限制执行仅限操作员的操作。

此角色可以管理安全并创建具有无限权限的角色。在将其分配给用户时要格外小心。

transform_admin
授予 manage_transform 集群权限,使您能够管理转换。此角色还包括机器学习功能的所有 Kibana 权限
transform_user
授予 monitor_transform 集群权限,使您能够执行与转换相关的只读操作。此角色还包括机器学习功能的所有 Kibana 权限
transport_client

授予通过 Java 传输客户端访问集群所需的权限。Java 传输客户端使用节点活跃度 API集群状态 API (启用嗅探时) 获取集群中节点的信息。如果用户使用传输客户端,请为他们分配此角色。

有效使用传输客户端意味着用户被授予访问集群状态的权限。这意味着用户可以查看所有索引、索引模板、映射、节点以及基本上关于集群的所有元数据。但是,此角色不授予查看所有索引中数据的权限。

viewer

授予对 Kibana 中所有功能(包括解决方案)和数据索引的只读访问权限。

  • 此角色提供对任何不以点开头的索引的读取访问权限。
  • 此角色在新的 Kibana 功能可用后立即自动授予对其只读访问权限。
watcher_admin

允许用户创建和执行所有 Watcher 操作。授予对 .watches 索引的读取访问权限。还授予对观察历史记录和触发的观察索引的读取访问权限。

watcher_user

授予对 .watches 索引、get watch 操作和 watcher 统计信息的读取访问权限。

« 用户授权 定义角色 »