安全性

如果您的集群启用了安全性，Elasticsearch SQL 将会与其集成。在这种情况下，Elasticsearch SQL 支持传输层的安全性（通过加密消费者和服务器之间的通信）和身份验证（用于访问层）。

如果使用加密传输，需要在 Elasticsearch SQL 中启用 SSL/TLS 支持，以便正确建立与 Elasticsearch 的通信。这可以通过将 ssl 属性设置为 true 或在 URL 中使用 https 前缀来完成。
根据您的 SSL 配置（证书是否由 CA 签名，是否是 JVM 级别的全局证书或仅限单个应用程序），可能需要设置 keystore 和/或 truststore，即凭据的存储位置（keystore - 通常存储私钥和证书）以及如何验证它们（truststore - 通常存储来自第三方（也称为 CA - 证书颁发机构）的证书）。
通常（请注意，您的环境可能差异很大），如果 Elasticsearch SQL 的 SSL 设置尚未在 JVM 级别完成，则如果 Elasticsearch SQL 安全性需要客户端身份验证 (PKI - 公钥基础设施)，则需要设置密钥库，如果启用了 SSL，则需要设置 truststore。

Elasticsearch SQL 中的身份验证支持有两种类型

在服务器上，需要向用户添加一些权限，以便他们可以运行 SQL。要运行 SQL，用户至少需要 read 和 indices:admin/get 权限，而 API 的某些部分需要 cluster:monitor/main。

您可以通过创建角色并将该角色分配给用户来添加权限。可以使用 Kibana、API 调用或 roles.yml 配置文件创建角色。使用 Kibana 或角色管理 API 是定义角色的首选方法。如果您想定义一个不需要更改的角色，则基于文件的角色管理很有用。您不能使用角色管理 API 来查看或编辑在 roles.yml 中定义的角色。

此示例配置一个可以在 JDBC 中运行 SQL 并查询 test 索引的角色

resp = client.security.put_role(
    name="cli_or_drivers_minimal",
    cluster=[
        "cluster:monitor/main"
    ],
    indices=[
        {
            "names": [
                "test"
            ],
            "privileges": [
                "read",
                "indices:admin/get"
            ]
        }
    ],
)
print(resp)

const response = await client.security.putRole({
  name: "cli_or_drivers_minimal",
  cluster: ["cluster:monitor/main"],
  indices: [
    {
      names: ["test"],
      privileges: ["read", "indices:admin/get"],
    },
  ],
});
console.log(response);

POST /_security/role/cli_or_drivers_minimal
{
  "cluster": ["cluster:monitor/main"],
  "indices": [
    {
      "names": ["test"],
      "privileges": ["read", "indices:admin/get"]
    }
  ]
}

此示例配置一个可以在 JDBC 中运行 SQL 并查询 test 和 bort 索引的角色。将以下内容添加到 roles.yml

cli_or_drivers_minimal:
  cluster:
    - "cluster:monitor/main"
  indices:
    - names: test
      privileges: [read, "indices:admin/get"]
    - names: bort
      privileges: [read, "indices:admin/get"]