« 用户授权 定义角色 »
Elastic 文档 Elasticsearch 指南 [8.14] 保护 Elastic Stack 安全 用户授权

内置角色

编辑

内置角色编辑

Elastic Stack 安全功能会将默认角色应用于所有用户,包括 匿名用户。默认角色允许用户访问身份验证端点、更改自己的密码以及获取有关自身的信息。

还有一组内置角色,您可以显式分配给用户。这些角色具有一组固定的权限,并且无法更新。

apm_system
授予 APM 系统用户向 Elasticsearch 发送系统级数据(例如监控)所需的访问权限。
apm_user
授予 APM 用户所需的权限(例如,对 apm-*.ml-anomalies* 索引的 readview_index_metadata 权限)。 [7.13.0] 已在 7.13.0 中弃用。有关替代方案,请参阅 APM 应用程序用户和权限 .
beats_admin
授予对 .management-beats 索引的访问权限,该索引包含 Beats 的配置信息。
beats_system

授予 Beats 系统用户向 Elasticsearch 发送系统级数据(例如监控)所需的访问权限。

  • 不应将此角色分配给用户,因为授予的权限可能会在不同版本之间发生变化。
  • 此角色不提供对 Beats 索引的访问权限,也不适合将 Beats 输出写入 Elasticsearch。
data_frame_transforms_admin
授予 manage_data_frame_transforms 集群权限,使您能够管理转换。此角色还包括机器学习功能的所有 Kibana 权限 [7.5.0] 已在 7.5.0 中弃用。替换为 transform_admin .
data_frame_transforms_user
授予 monitor_data_frame_transforms 集群权限,使您能够使用转换。此角色还包括机器学习功能的所有 Kibana 权限 [7.5.0] 已在 7.5.0 中弃用。替换为 transform_user .
editor

授予对 Kibana 中所有功能(包括解决方案)的完全访问权限,以及对数据索引的只读访问权限。

  • 此角色提供对任何未以点为前缀的索引的读取访问权限。
  • 此角色会在新 Kibana 功能发布后立即自动授予对它们的完全访问权限。
  • 某些 Kibana 功能可能还需要对数据索引的创建或写入访问权限。机器学习数据帧分析作业就是一个例子。对于此类功能,必须在单独的角色中定义这些权限。
enrich_user
授予管理 所有 enrich 索引(.enrich-*)和 所有 ingest 管道操作的访问权限。
inference_admin
提供 inference_user 角色的所有权限以及对 {inference} API 的完全使用权限。授予 manage_inference 集群权限。
inference_user
提供查看 {inference} 配置和执行推理所需的最低权限。授予 monintor_inference 集群权限。
ingest_admin

授予管理 所有 索引模板和 所有 ingest 管道配置的访问权限。

此角色 提供创建索引的能力;必须在单独的角色中定义这些权限。

kibana_dashboard_only_user
(此角色已弃用,请改用 Kibana 功能权限)。授予对每个 Kibana 空间 中的 Kibana 仪表板的只读访问权限。此角色无权访问 Kibana 中的编辑工具。
kibana_system

授予 Kibana 系统用户从 Kibana 索引读取和写入 Kibana 索引、管理索引模板和令牌以及检查 Elasticsearch 集群可用性所需的访问权限。它还允许激活、搜索和检索用户配置文件,以及更新 kibana-* 命名空间的用户配置文件数据。此角色授予对 .monitoring-* 索引的读取访问权限,以及对 .reporting-* 索引的读取和写入访问权限。有关更多信息,请参阅 在 Kibana 中配置安全

不应将此角色分配给用户,因为授予的权限可能会在不同版本之间发生变化。

kibana_admin
授予对 Kibana 中所有功能的访问权限。有关 Kibana 授权的更多信息,请参阅 Kibana 授权
kibana_user
(此角色已弃用,请改用 kibana_admin 角色)。授予对 Kibana 中所有功能的访问权限。有关 Kibana 授权的更多信息,请参阅 Kibana 授权
logstash_admin
授予对 .logstash* 索引的访问权限以管理配置,并授予对 logstash x-pack 插件公开的 logstash 特定 API 的必要访问权限。
logstash_system

授予 Logstash 系统用户向 Elasticsearch 发送系统级数据(例如监控)所需的访问权限。有关更多信息,请参阅 在 Logstash 中配置安全

  • 不应将此角色分配给用户,因为授予的权限可能会在不同版本之间发生变化。
  • 此角色不提供对 logstash 索引的访问权限,也不适合在 Logstash 管道中使用。
machine_learning_admin
提供 machine_learning_user 角色的所有权限以及对机器学习 API 的完全使用权限。授予 manage_ml 集群权限,对 .ml-anomalies*.ml-notifications*.ml-state*.ml-meta* 索引的读取访问权限,以及对 .ml-annotations* 索引的写入访问权限。机器学习管理员还需要源和目标索引的索引权限,以及授予对 Kibana 的访问权限的角色。请参阅 机器学习安全权限
machine_learning_user
授予查看机器学习配置、状态和处理结果所需的最低权限。此角色授予 monitor_ml 集群权限,对 .ml-notifications.ml-anomalies* 索引(存储机器学习结果)的读取访问权限,以及对 .ml-annotations* 索引的写入访问权限。机器学习用户还需要源和目标索引的索引权限,以及授予对 Kibana 的访问权限的角色。请参阅 机器学习安全权限
monitoring_user
授予除使用 Kibana 所需权限之外的任何 X-Pack 监控用户所需的最低权限。此角色授予对监控索引的访问权限,并授予读取基本集群信息所需的权限。此角色还包括 Elastic Stack 监控功能的所有 Kibana 权限。还应为监控用户分配 kibana_admin 角色或其他具有 对 Kibana 实例的访问权限 的角色。
remote_monitoring_agent
授予将数据写入监控索引(.monitoring-*)所需的最低权限。此角色还具有创建 Metricbeat 索引(metricbeat-*)并将数据写入其中的权限。
remote_monitoring_collector
授予收集 Elastic Stack 监控数据所需的最低权限。
reporting_user
授予除使用 Kibana 所需权限之外的 X-Pack 报告用户所需的特定权限。此角色授予对报告索引的访问权限;每个用户只能访问自己的报告。还应为报告用户分配其他角色,以授予 对 Kibana 的访问权限 以及对将用于生成报告的 索引 的读取访问权限。
rollup_admin
授予 manage_rollup 集群权限,使您能够管理和执行所有汇总操作。
rollup_user
授予 monitor_rollup 集群权限,使您能够执行与汇总相关的只读操作。
snapshot_user
授予创建 所有 索引的快照和查看其元数据所需的权限。此角色允许用户查看现有快照存储库的配置和快照详细信息。它不授予删除或添加存储库或还原快照的权限。它也不允许更改索引设置或读取或更新数据流或索引数据。
superuser

授予对集群管理和数据索引的完全访问权限。此角色还授予对受限索引(如 .security)的直接只读访问权限。具有 superuser 角色的用户可以 模拟 系统中的任何其他用户。

在 Elastic Cloud 上,所有标准用户(包括具有 superuser 角色的用户)都被限制执行 仅限操作员 的操作。

此角色可以管理安全并创建具有无限权限的角色。将此角色分配给用户时要格外小心。

transform_admin
授予 manage_transform 集群权限,允许您管理转换。此角色还包括机器学习功能的所有 Kibana 权限
transform_user
授予 monitor_transform 集群权限,允许您执行与转换相关的只读操作。此角色还包括机器学习功能的所有 Kibana 权限
transport_client

授予通过 Java 传输客户端访问集群所需的权限。Java 传输客户端使用*节点活动 API* 和*集群状态 API*(当启用嗅探时)获取有关集群中节点的信息。如果您的用户使用传输客户端,请为其分配此角色。

使用传输客户端实际上意味着用户被授予了访问集群状态的权限。这意味着用户可以查看所有索引、索引模板、映射、节点以及集群的几乎所有内容的元数据。但是,此角色不授予查看所有索引中数据的权限。

viewer

授予对 Kibana 中所有功能(包括解决方案)和数据索引的只读访问权限。

  • 此角色提供对任何未以点为前缀的索引的读取访问权限。
  • 此角色会在新 Kibana 功能可用时自动授予只读访问权限。
watcher_admin

允许用户创建和执行所有 Watcher 操作。授予对 .watches 索引的读取访问权限。还授予对监视历史记录和已触发监视索引的读取访问权限。

watcher_user

授予对 .watches 索引、获取监视操作和监视器统计信息的读取访问权限。

« 用户授权 定义角色 »