Elasticsearch部署在邏輯隔離的專用網路中,結合多種網路存取控制、認證授權、安全加密能力,以及商業外掛程式X-Pack中的進階安全措施,確保雲上叢集的高安全性。本文介紹Elasticsearch的存取控制措施。
設定或重設叢集訪問密碼
在建立Elasticsearch執行個體時,您需要設定預設使用者elastic的密碼,用於用戶端訪問叢集、登入Kibana控制台等認證。詳細資料,請參見購買頁面參數。
當您需要修改叢集的訪問密碼時,可通過重設密碼功能,重新設定elastic使用者的密碼。詳細資料,請參見重設執行個體訪問密碼。
設定Elasticsearch叢集訪問白名單
公網訪問白名單:出於安全考慮,Elasticsearch預設關閉公網訪問功能。如果您需要通過公網訪問Elasticsearch,需要手動開啟公網訪問,並將待訪問裝置的IP地址加入公網訪問白名單組中。詳細資料,請參見配置執行個體公網或私網訪問白名單。
私網訪問白名單:Elasticsearch預設開啟私網訪問功能,且支援修改私網訪問白名單。如果您需要在私網環境中,通過指定裝置訪問Elasticsearch,可將待訪問裝置的IP地址加入私網訪問白名單組中。詳細資料,請參見配置執行個體公網或私網訪問白名單。
設定Kibana訪問白名單
公網訪問白名單:Kibana公網訪問預設開啟,但出於安全考慮,Elasticsearch預設將Kibana的公網訪問白名單設定為127.0.0.1,::1,表示不允許任何IPv4和IPv6地址訪問。首次進入Kibana控制台時,系統會提示您配置公網訪問白名單,您需要將待訪問裝置的IP地址加入Kibana公網訪問白名單中,才可以通過該裝置登入Kibana控制台。詳細資料,請參見配置Kibana公網或私網訪問白名單。
私網訪問白名單:Elasticsearch預設關閉Kibana的私網訪問功能。如果您需要在私網環境中,通過指定裝置登入Kibana控制台,可手動開啟Kibana私網訪問功能,並將對應裝置的IP地址加入Kibana的私網訪問白名單組中。詳細資料,請參見配置Kibana公網或私網訪問白名單。
X-Pack角色許可權管控
當您需要設定叢集、索引、欄位或其他動作的存取權限時,可以通過Elasticsearch X-Pack的RBAC(Role-based Access Control)機制,在Kibana控制台中為自訂角色指派許可權,並將角色指派給使用者,實現許可權管控。詳細資料,請參見通過Elasticsearch X-Pack角色管理實現使用者權限管控。