Elasticsearch 安全与权限管理 详解

最新推荐文章于 2025-09-28 17:59:36 发布
原创 最新推荐文章于 2025-09-28 17:59:36 发布 · 1.1k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch #安全 #权限 #方案 #学习

Elasticsearch 安全与权限管理 是生产环境的基石。随着数据敏感性提升,必须通过 身份认证、授权、加密 等手段保障集群安全。

本文将为你提供一份 全面、可落地的 Elasticsearch 安全与权限详解,涵盖 X-Pack 安全模块、用户认证、RBAC 权限控制等核心内容。

一、启用 X-Pack 安全模块(免费基础版)

Elasticsearch 从 6.8 / 7.1 开始,X-Pack 安全功能的基础版免费,包含:

  • 用户认证(Authentication)
  • 角色授权(Authorization)
  • TLS 加密(Transport & HTTP)
  • 审计日志(Audit Logging)

✅ 启用安全功能

elasticsearch.yml 中启用:

xpack.security.enabled: true

⚠️ 首次启用后,系统会自动生成 elastic 用户的临时密码,需立即修改。

🔐 重置 elastic 用户密码

bin/elasticsearch-reset-password -u elastic

或通过 API:

POST /_security/user/elastic/_password
{
  "password": "NewStrongPass123!"
}

二、配置用户认证(Authentication)

支持多种认证方式,适用于不同企业环境。

1. 内置用户(Native Realm)

默认用户存储在 .security-7 索引中。

创建用户示例:
POST /_security/user/analytics_reader
{
  "password": "ReadPass456!",
  "roles": [ "kibana_reader", "viewer" ],
  "full_name": "Analytics Team Read-Only"
}

适用于小团队或静态用户。

2. LDAP / Active Directory 集成(推荐企业使用)

将 Elasticsearch 与企业 AD/LDAP 集成,实现统一身份管理。

配置示例(elasticsearch.yml):
xpack:
  security:
    authc:
      realms:
        ldap:
          order: 0
          url: "ldap://ad.company.com:389"
          bind_dn: "cn=es-bind,ou=service-accounts,dc=company,dc=com"
          user_search:
            base_dn: "ou=users,dc=company,dc=com"
            filter: "(sAMAccountName={username})"
          group_search:
            base_dn: "ou=groups,dc=company,dc=com"
启用后:
  • 用户使用 AD 账号登录 Kibana;
  • 无需在 ES 中单独创建用户;
  • 支持组映射到角色。

3. SAML / OpenID Connect(单点登录)

适用于与 Okta、Azure AD、Keycloak 等 SSO 系统集成。

配置流程:
  1. 在 IdP(身份提供者)注册 ES 为 SP(服务提供者);
  2. 配置 saml realm;
  3. 映射 IdP 的 groups 到 ES 角色。

适用于多租户、SaaS 平台。

三、基于角色的访问控制(RBAC)

Elasticsearch 使用 角色(Role) + 用户(User) 实现细粒度权限控制。

1. 内置角色(推荐组合使用)

角色权限
superuser全部权限(慎用)
monitor只读集群状态
viewer读取数据、搜索
kibana_admin管理 Kibana
ingest_admin管理 ingest pipeline
machine_learning_user使用 ML 功能

2. 自定义角色(精细控制)

示例:商品搜索专用角色
PUT /_security/role/product_search_role
{
  "indices": [
    {
      "names": [ "products-*" ],
      "privileges": [ "read", "view_index_metadata" ],
      "field_security": {
        "grant": [ "title", "price", "category" ],
        "except": [ "cost_price" ]  // 敏感字段屏蔽
      },
      "query": "{\"term\": {\"status\": \"published\"}}"  // 查询过滤
    }
  ]
}

✅ 实现 字段级安全(Field-Level Security)文档级安全(DLS)

3. 角色映射(Role Mapping)

将 LDAP/AD 组映射到 ES 角色。

示例:将 AD 组映射为 viewer 角色
PUT /_security/role_mapping/analytics_team
{
  "roles": [ "viewer" ],
  "rules": {
    "field": { "dn": "cn=analytics-team,ou=groups,dc=company,dc=com" }
  },
  "enabled": true
}

用户属于该 AD 组时,自动获得 viewer 权限。

四、API Key 管理(推荐用于应用)

比用户名密码更安全,适合程序调用。

1. 创建 API Key

POST /_security/api_key
{
  "name": "app-search-key",
  "role_descriptors": {
    "search_role": {
      "cluster": [],
      "indices": [
        {
          "names": [ "products-*" ],
          "privileges": [ "read", "view_index_metadata" ]
        }
      ]
    }
  }
}

返回:

{
  "id": "123abc",
  "name": "app-search-key",
  "api_key": "xyz789"
}

2. 使用 API Key 调用

GET /products-2024/_search
Authorization: ApiKey MTA0OkRmVDRabWdzV2ZaQzVZSGx3WAP

3. 管理 API Key

  • 过期时间(TTL)
  • 撤销(Revoke)
  • 审计日志

五、TLS 加密(Encryption in Transit)

防止网络窃听,所有节点间和客户端通信应加密。

1. HTTP 层加密(客户端 → ES)

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.key: /path/to/http.key
xpack.security.http.ssl.certificate: /path/to/http.crt

2. Transport 层加密(节点间通信)

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.key: /path/to/transport.key
xpack.security.transport.ssl.certificate: /path/to/transport.crt
xpack.security.transport.ssl.certificate_authorities: [ "/path/to/ca.crt" ]

✅ 使用 CA 签发证书,避免自签名风险。

六、审计日志(Audit Logging)

记录所有安全相关事件,用于合规与故障排查。

启用审计日志

xpack.security.audit.enabled: true
xpack.security.audit.logfile.events.include: [
  "access_denied", 
  "access_granted", 
  "authentication_failed", 
  "connection_denied"
]

审计日志示例:

[2024-06-01T10:00:00,123][AUDIT] authentication_failed
  origin.type=http, origin.address=203.0.113.45:54321
  principal=unknown_user
  realm=ldap1

建议将审计日志发送到独立 SIEM 系统(如 Splunk、ELK)。

七、最佳实践 checklist ✅

项目建议
启用 xpack.security.enabled
配置 TLS 加密(HTTP + Transport)
创建最小权限用户,禁用 elastic
使用 API Key 替代密码
配置角色实现 DLS/FLS
审计日志开启并集中收集
禁用公网访问,使用防火墙
关闭动态脚本或启用沙箱
定期轮换凭证

八、扩展建议

场景建议方案
云环境(AWS/Aliyun)使用 VPC、安全组、IAM 角色
合规要求(等保、GDPR)启用审计、加密、访问控制
多租户隔离使用 Index Pattern + Role + Space
自动化安全加固使用 Ansible/Terraform 部署安全配置
大数据环境下数据仓库的安全防护权限管理
AI天才研究院
05-17 1039
随着企业数据量从TB级向EB级跃迁,数据仓库(如Hive、Spark SQL、AWS Redshift)已成为支撑BI分析、AI训练的核心基础设施。然而,大数据环境的分布式特性(多节点、跨集群)、数据多样性(结构化/非结构化)及用户角色复杂性(分析师、业务方、第三方),使得传统数据库的安全防护体系(如简单角色权限)难以应对。本文聚焦大数据环境下数据仓库的安全防护权限管理,覆盖从数据静态存储到动态使用的全流程安全控制,旨在为企业提供可落地的技术方案
【入门篇】Elasticsearch、Kibana权限控制
热门推荐
皮斯特劳沃
12-23 3万+
1、官方文档:https://www.elastic.co/guide/en/x-pack/current/index.html2、Install X-Pack into Elasticsearch bin/elasticsearch-plugin install x-pack 3、Start Elasticsearch bin/elasticsearch 4、Install X-Pack into
Elasticsearch+Kibana安全配置详解
qq_27639777的博客
08-04 7517
文章目录简介启用Elasticsearch安全特性配置传输层TLS/SSL加密传输设置内置用户密码配置HTTP层TLS/SSL加密传输配置Kibana到Elasticsearch的校验生成PKI客户端证书配置Kibana到Elasticsearch的校验配置Kibana UI的SSL加密传输 简介 对生产环境的Elasticsearch集群开启安全特性是必要的,而Elastic Stack已经提供...
windows环境下安装Elasticsearch过程记录,包含 JDK​​安装,ES启动验证
最新发布
Amber_28的博客
09-28 634
这篇简单描述了在windows环境下安装Elasticsearch的基本步骤,记录过程中遇到的一些问题。
ElasticSearch添加用户权限验证.docx
02-03
线上Elasticsearch集群,版本6.4.3,尽管为内网环境,并关闭的9200的外网访问端口,但安全扫描之后发现其存在elasticsearch未授权访问问题,需要进行http basic认证。
02.elasticsearch-security_es权限管理API概览
寒夜
07-05 4385
文章目录1.es权限管理简介1.1 role的权限定义1.2 创建user2. es创建role的权限详解2.1 run_as权限2.2 cluster 相关权限2.3 indices 相关权限2.4 applications相关权限2.4.1 application 作用含义2.4.2 application创建2.5 global相关权限2.6 es中build-in role2.7 es中的build-in user3. 权限role,user创建的入口4. 简单总结 1.es权限管理简介   这里主
Elasticsearch 用户认证和授权
FireFox1997
08-21 1773
Elasticsearch 提供了丰富的安全功能,通过认证、授权、加密传输和审计日志等机制,确保数据的安全访问和操作。通过合理配置用户和角色管理,管理员可以精细控制用户的权限,保护敏感数据不被未经授权的访问。结合最佳实践,Elasticsearch安全机制可以为企业提供一个可靠且安全的搜索和分析平台。在部署和维护过程中,定期审查和优化安全配置是确保系统持续安全的关键。
浅谈Elasticsearch安全权限管理
wangluoanquan111的博客
03-12 2238
除了预定义的角色外,还可以创建自定义角色。例如,创建一个名为read_only创建一个名为。
Elasticsearch 安全
DerickQin的博客
07-06 422
Elasticsearch安全 Elasticsearch安全Elasticsearch安全1.默认端口修改2.防火墙策略 1.默认端口修改 修改ES常用的默认端口 2.防火墙策略 关于防火墙的配置,可以参考:“防火墙设置”章节的。外部的安全主要是通过相关的方式。 ...
KES数据库实战考试题目详解-涵盖数据库部署、权限管理、备份恢复、安全策略高可用架构
01-16
内容概要:本文档提供了关于KingbaseES(简称KES)数据库管理系统的一系列考试题目,详细涵盖了从数据库环境的初始化部署、数据库角色权限管理、数据的逻辑备份恢复、数据的安全机制设定(如行级安全性)、...
ELK堆栈搭建指南:Elasticsearch、LogstashKibana安装及基本配置详解
02-07
内容概要:本文档详细介绍了 ELK(Elasticsearch、Logstash 和 Kibana)堆栈的安装配置流程,涵盖各组件的功能简介及版本(均为5.4.0)。文档首先阐述了 ELK 基础环境的需求及其各自特性:Elasticsearch 强调了其实...
ELK_ELFK(7.3)企业PB级日志系统实践系列文章10 - Elasticsearch集群安全权限控制详解
ELK(Elasticsearch、Logstash、Kibana)或ELFK(Elasticsearch、Logstash、Fluentd、Kibana)日志系统作为一套开源的日志管理解决方案,被广泛应用于企业级日志管理中,能够实现日志的收集、存储、搜索和可视化分析...
关于elasticsearch安全设置的一个注意点
坐忘峰
03-15 8492
elasticsearch1.4.3以前想版本,除了有MVEL安全漏洞外,还有Groovy的漏洞,具体可以参照:点击打开链接,这里要说的就是其使用的时候要注意的一个重要配置:         作为分布式服务器,一般部署在内网,以服务的形式提供给应用使用。而elasticsearch默认绑定的IP地址是:0.0.0.0,也就是说如果这个机子有几个网卡,则elasticsearch都可以通过这些IP
Elasticsearch 角色和权限管理
得塔云的博客
07-13 2506
Elasticsearch 从早期版本开始,就逐渐加强了其安全特性,尤其是在引入 X-Pack(现已集成到 Elasticsearch 订阅版本中)后,提供了更为全面的安全功能,包括认证、授权、加密通信等。其中,角色和权限管理是实现细粒度访问控制的关键部分。
Elasticsearch安全和隐私保护
AI天才研究院
01-28 1219
1.背景介绍 1. 背景介绍 Elasticsearch是一个开源的搜索和分析引擎,它基于Lucene库构建,用于实时搜索和分析大量数据。随着数据的增长,数据安全和隐私保护成为了关键问题。本文将讨论Elasticsearch安全和隐私保护,包括核心概念、算法原理、最佳实践、应用场景和工具推荐。 2. 核心概念联系 在Elasticsearch中,数据安全和隐私保护主要关注以下几个方面:...
Elasticsearch安全问题
weixin_30654419的博客
07-25 1348
本节内容: 背景 修改默认的 Elasticsearch 集群名称 不要暴露 Elasticsearch 在公网上 不要以 root 身份运行 Elasticsearch 定期对 Elasticsearch 进行备份 安装Elasticsearch权限系统插件-SearchGuard 利用操作系统防火墙设置规避9200端口开放问题 一、背景 Elasticsear...
Elasticsearch(四) 安全
哆啦咪~fo
06-03 890
待续 参考链接https://blog.51cto.com/chenhao6/2113873
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值