点击蓝字关注我们
Elasticsearch 是许多企业构建搜索和分析平台的首选工具,但在多用户或多租户场景下,数据安全和访问控制至关重要。基于角色的访问控制(RBAC,Role-Based Access Control)是 Elasticsearch 提供的强大功能,可以帮助管理员为不同用户分配精确的权限。本文将通过一个多租户场景的案例,详细介绍如何使用 API 配置 RBAC 权限,涵盖索引隔离、文档级控制以及常见问题排查。
为什么需要 RBAC?
在多租户环境中,例如一个 SaaS 平台,不同客户的数据存储在同一个 Elasticsearch 集群中,RBAC 可以确保每个租户只能访问自己的数据。RBAC 通过角色定义权限,再将角色分配给用户,实现灵活且安全的访问管理。
前提条件
Elasticsearch 8.x 已安装,并启用 X-Pack 安全功能。
具备管理员权限(elastic 用户凭据)。
熟悉 REST API 或 curl 工具。
测试环境包含示例索引,例如 tenant1-logs 和 tenant2-logs。
配置 RBAC 的步骤
以下以一个 SaaS 日志分析平台的场景为例,配置两个租户(Tenant1 和 Tenant2)的 RBAC 权限,确保数据隔离。
1. 确认安全功能已启用
在 elasticsearch.yml 中确保以下配置:
xpack.security.enabled: truexpack.security.authc.api_key.enabled: true
重启 Elasticsearch 后,运行以下命令设置内置用户密码:
bin/elasticsearch-setup-passwords interactive记录 elastic 用户的密码,用于后续 API 操作。
2. 定义租户角色
为每个租户创建独立的角色,限制其访问特定索引并设置文档级权限。以下为 Tenant1 创建角色,限制其只能访问 tenant1-logs 索引中标记为 tenant_id: tenant1 的文档。
API 请求:
curl -X POST "http://localhost:9200/_security/role/tenant1_role" -u elastic:your_password -H "Content-Type: application/json" -d'{"cluster": ["monitor"],"indices": {"tenant1-logs": {"privileges": ["read", "view_index_metadata"],"query": "{\"term\": {\"tenant_id\": \"tenant1\"}}"}}}'
为 Tenant2 创建类似角色:
curl -X POST "http://localhost:9200/_security/role/tenant2_role" -u elastic:your_password -H "Content-Type: application/json" -d'{"cluster": ["monitor"],"indices": {"tenant2-logs": {"privileges": ["read", "view_index_metadata"],"query": "{\"term\": {\"tenant_id\": \"tenant2\"}}"}}}'
说明:
cluster 权限中的 monitor 允许查看集群健康状态。
indices 定义了索引权限,query 限制了文档访问范围。
3. 创建用户并分配角色
为每个租户创建用户,并绑定对应角色。
Tenant1 用户:
curl -X POST "http://localhost:9200/_security/user/tenant1_user" -u elastic:your_password -H "Content-Type: application/json" -d'{"password": "tenant1_secure_pass","roles": ["tenant1_role"],"full_name": "Tenant1 User","email": "tenant1@example.com"}'
Tenant2 用户:
curl -X POST "http://localhost:9200/_security/user/tenant2_user" -u elastic:your_password -H "Content-Type: application/json" -d'{"password": "tenant2_secure_pass","roles": ["tenant2_role"],"full_name": "Tenant2 User","email": "tenant2@example.com"}'
4. 使用 API 密钥增强安全性
在多租户场景中,应用程序通常通过 API 密钥而非用户名密码访问 Elasticsearch。创建 API 密钥并绑定角色:
为 Tenant1 创建 API 密钥:
curl -X POST "http://localhost:9200/_security/api_key" -u elastic:your_password -H "Content-Type: application/json" -d'{"name": "tenant1_api_key","role_descriptors": {"tenant1_role": {"cluster": ["monitor"],"indices": {"tenant1-logs": {"privileges": ["read"],"query": "{\"term\": {\"tenant_id\": \"tenant1\"}}"}}}}}'
响应会返回一个 API 密钥,保存以供应用程序使用。
5. 测试权限隔离
使用 Tenant1 用户或 API 密钥测试访问:
curl -X GET "http://localhost:9200/tenant1-logs/_search" -u tenant1_user:tenant1_secure_pass -H "Content-Type: application/json" -d'{"query": { "match_all": {} }}'
预期结果:
Tenant1 用户只能看到 tenant1-logs 中 tenant_id: tenant1 的文档。
尝试访问 tenant2-logs 会返回 403 Forbidden。
6. 字段级安全控制
为进一步限制访问,假设 Tenant1 用户只能查看日志中的 message 和 timestamp 字段:
更新角色:
curl -X PUT "http://localhost:9200/_security/role/tenant1_role" -u elastic:your_password -H "Content-Type: application/json" -d'{"cluster": ["monitor"],"indices": {"tenant1-logs": {"privileges": ["read", "view_index_metadata"],"query": "{\"term\": {\"tenant_id\": \"tenant1\"}}","field_security": {"grant": ["message", "timestamp"]}}}}'
7. 关键注意事项
索引命名约定:使用清晰的索引命名(如 tenantX-logs)简化权限管理。
动态角色分配:对于动态租户,考虑使用 Elasticsearch 的角色映射(Role Mapping)基于用户属性自动分配角色。
日志监控:启用审计日志(xpack.security.audit.enabled: true)以跟踪权限相关问题。
性能优化:避免过于复杂的 query 条件,以减少权限检查的性能开销。
常见问题排查
1. 用户收到 403 错误:
确认角色是否正确绑定到用户。
检查索引模式是否匹配(例如,tenant1-logs 而非 tenant1_logs)。
2. API 密钥失效:
API 密钥可能已过期,检查创建时的 expiration 设置。
使用 _security/api_key 端点查询并重新生成。
3. 查询返回空结果:
验证文档中的 tenant_id 字段是否正确设置。
检查角色中的 query 条件是否过于严格。
总结
通过 RBAC,Elasticsearch 提供了强大的工具来实现多租户环境下的数据隔离和安全访问控制。本文通过 API 方式展示了如何为不同租户配置角色、用户和 API 密钥,并结合文档级和字段级权限实现精细化管理。在实际应用中,结合清晰的命名规范、审计日志和定期权限审查,可以进一步提升系统的安全性和可维护性。
关于公司
感谢您关注新智锦绣科技(北京)有限公司!作为 Elastic 的 Elite 合作伙伴及 EnterpriseDB 在国内的唯一代理和服务合作伙伴,我们始终致力于技术创新和优质服务,帮助企业客户实现数据平台的高效构建与智能化管理。无论您是关注 Elastic 生态系统,还是需要 EnterpriseDB 的支持,我们都将为您提供专业的技术支持和量身定制的解决方案。
欢迎关注我们,获取更多技术资讯和数字化转型方案,共创美好未来!
|
|
Elastic 微信群 |
EDB 微信群 |
发现“分享”和“赞”了吗,戳我看看吧