› ›

保护对 Kibana 的访问

Kibana 拥有一个不断增长的强大功能套件，可帮助您充分利用数据。您的数据很重要，应该受到保护。Kibana 允许您保护对数据的访问，并控制用户如何与您的数据交互。

例如，某些用户可能只需要查看您精美的仪表板，而其他用户可能需要管理您的 Elastic Agent 集群并运行机器学习作业来检测网络中的异常行为。

本指南将向您介绍 Kibana 的三个安全功能：空间、角色和用户。在本教程结束时，您将学习如何管理这些实体，以及如何利用它们来保护对 Kibana 和数据的访问。

您是否有多个团队在使用 Kibana？您是否想要一个“游乐场”来试验新的可视化或规则？如果是这样，那么 Kibana 空间可以提供帮助。

将空间视为 Kibana 的另一个实例。空间允许您将您的仪表板、规则、机器学习作业以及更多内容组织到各自的类别中。例如，您可能有一个营销空间供您的营销人员跟踪其营销活动的结果，以及一个工程空间供您的开发人员监控应用程序性能。

您在一个空间中创建的资产与其他空间隔离，因此当您进入一个空间时，您只会看到属于该空间的资产。

有关更多信息，请参阅空间文档。

设置好空间后，保护访问的下一步是配置您的角色。角色是权限的集合，允许您在 Kibana 和 Elasticsearch 中执行操作。角色被分配给用户，以及为 Elastic Stack 提供支持的系统帐户。

您可以创建自己的角色，或使用任何内置角色。某些内置角色旨在用于 Elastic Stack 组件，不应直接分配给最终用户。

更有用的内置角色之一是 kibana_admin。将此角色分配给您的用户将授予对 Kibana 所有功能的访问权限。这包括管理空间的能力。

内置角色非常适合开始使用 Elastic Stack，也适合不需要更严格访问权限的系统管理员。由于功能如此之多，因此不可能提供更精细的角色来满足每个人的需求。这就是自定义角色的用武之地。

作为管理员，您有能力创建自己的角色来准确描述您的用户应具有的访问权限类型。例如，您可以创建一个 marketing_user 角色，然后将其分配给您营销部门的所有用户。此角色将授予此团队成功所需的所有必要数据和功能的访问权限，而不会授予他们不需要的访问权限。

设置好角色后，保护访问的下一步是创建用户，并为他们分配一个或多个角色。Kibana 的用户管理允许您为每个用户配置帐户。

想要单点登录？Kibana 支持各种 SSO 实现，包括 SAML、OIDC、LDAP/AD 和 Kerberos。了解有关 Kibana SSO 功能的更多信息。

让我们一起完成一个示例。考虑一位想要监控其营销活动效果的营销分析师。他们应该能够看到其团队的仪表板，但不允许查看或管理 Kibana 中的任何其他内容。该团队的所有仪表板都位于“营销”空间中。

为您的营销分析师创建一个“营销”空间。

为了有效地使用仪表板，请创建一个描述您要授予的权限的角色。在此示例中，营销分析师将需要

要创建角色

使用导航菜单或全局搜索字段转到角色管理页面。
单击 创建角色。
为此角色指定一个唯一名称。例如：marketing_dashboards_role。
在此示例中，您要将所有营销数据存储在 acme-marketing-* 索引集中。要授予此访问权限，请找到 索引权限部分并输入
1. acme-marketing-* 在索引字段中。
2. read 和 view_index_metadata 在权限字段中。
  
  您可以添加多个索引模式，并为每个模式授予不同的访问级别。单击 添加索引权限以授予其他访问权限。
要授予对 营销空间中的仪表板的访问权限，请找到 Kibana 部分，然后单击 添加 Kibana 权限
1. 从空间下拉菜单中，选择 营销空间。
2. 展开分析部分，然后为 仪表板选择读取权限。
3. 单击 添加 Kibana 权限。
单击 创建角色。

如果您按照上面的示例操作，您最终应该得到一个如下所示的角色