ES通过RBAC机制来管理权限,
权限分配给角色,然后将角色分配给用户或组。
内建角色
| 角色 | 说明 | 备注 |
|---|---|---|
| apm_system | 赋权给APM系统用户,允许其发送系统级别数据(例如监控信息)到ES。 | |
| apm_user | 赋给APM普通用户所需的权限。(例如read/view_index_metadata ON apm-*/.ml-anomalies* ) | |
| beats_admin | 赋予access .management-beats的权限,这里面包含了Beats的配置信息 | |
| beats_system | 赋权给Beats系统用户,允许其发送系统级别数据(例如监控信息)到ES。 | 这个role不应该赋予其他用户,因为被授予的权限在不同版本间改变。 这个role不提供access beats indeices的权限,不适合用于将beats输出写入到ES。 |
| data_frame_transforms_admin | 允许管理transforms。 对于machine learning功能,这个角色还包含所有Kibana privileges。 | |
| data_frame_transforms_user | 允许使用transforms。 对于machine learning功能,这个角色还包含所有Kibana privileges。 | |
| enrich_user | 管理所有enrich indices(.enrich-*), 以及ingest node pipelines上所有操作 | |
| ingest_admin | 管理所有index templates和所有ingest pipeline 配置。 | 该角色不提供创建indices的权限。 |
| kibana_dashboard_only_user | 已过期,使用Kibana feature privileges替代 | |
| kibana_system | 赋予Kibana系统用户读写Kibana indices,管理索引模板和tokens,检查es集群的可用性等。 | read access on .monitoring-* read/write access on .reporting-*. 这个role不应该被直接赋予普通用户。 |
| kibana_admin | access Kibana的所有功能 | |
| kibana_user | 已过期,使用kibana_admin替代 | |
| logstash_admin | access to .logstash* indices,管理配置信息 | |
| logstash_system | 赋予Logstash系统用户必要的权限,发送系统级数据(例如监控信息)到ES。 | |
| machine_learning_admin | ||
| machine_learning_user | ||
| monitoring_user | ||
| remote_monitoring_agent | ||
| remote_monitoring_collector | ||
| reporting_user | ||
| snapshot_user | 创建快照、读取元数据。用于备份。 | 该角色不允许更改索引设置或读取或更新索引数据。 |
| superuser | 超级用户 | |
| transform_admin | ||
| transform_user | ||
| transport_client | ||
| watcher_admin | ||
| watcher_user |