»Elasticsearch je neverjetno vsestranski in močan iskalnik in analitični mehanizem. Hitro lahko zaužije, organizira, razvršča, združuje in upravlja velike količine besedilnih podatkov.
Kljub vsemu so ena najbolj izjemnih lastnosti Elasticsearch in njegovega celotnega ekosistema zanesljive varnostne funkcije. Elasticsearch vključuje funkcije, kot je podpisovanje zahtev HTTP, in omogoča samo overjenim uporabnikom, da izvajajo operacije v gruči.
Druga varnostna funkcija v Elasticsearch je uporaba uporabnikov in vlog. Elasticsearch omogoča dodelitev določenih vlog uporabnikom v gruči. Ti se nato uporabijo za določitev dejanj, ki jih lahko uporabniško ime izvaja v gruči.
Elasticsearch bo dodelil privzeto vlogo vsem uporabnikom, ustvarjenim v gruči. Privzeta vloga omogoča uporabnikom dostop do končne točke za preverjanje avtorizacije, ki je odgovorna za spreminjanje gesel, pridobivanje uporabniških podatkov itd.«
OPOMBA: privzeta vloga je dodeljena tudi anonimnim uporabnikom.
Bistvo te vadnice je podati osnove vlog Elasticsearch. S to vadnico boste odkrili, kako pridobiti vloge v izvornem področju Elasticsearch in si ogledati vloge, dodeljene določenemu uporabniškemu imenu.
Poglobimo se.
Elasticsearch Get Roles API
API Get Roles uporabljamo za pridobivanje informacij o vlogah v gruči Elasticsearch. Sintaksa zahteve je prikazana:
DOBITI / _varnost / vlogo
Zgornja poizvedba bi morala vrniti vse vloge v sistemu.
Če želite pridobiti informacije o določeni vlogi, lahko uporabite sintakso, kot je prikazano:
DOBITI / _varnost / vlogo /< ime >
OPOMBA: Ta API zahteva, da ima uporabnik privilegij za upravljanje varnosti v gruči.
Če je zahteva uspešna, mora poizvedba vrniti niz vlog.
Primer 1 – Pridobite vse vloge v gruči
Spodnji primer zahteve bo pridobil vse vloge v gruči Elasticsearch:
curl -XGET “http://localhost:9200/_security/role?pretty=true” -H 'kbn-xsrf: poročanje'
Spodaj je prikazan primer izhoda:
'apm_user' : {
'gruča' : [ ] ,
'indeksi' : [
{
'imena' : [
'apm-*'
] ,
'privilegiji' : [
'brati' ,
'view_index_metapodatki'
] ,
'allow_restricted_indices' : lažno
} ,
{
'imena' : [
'okno-pribl.*'
] ,
'privilegiji' : [
'brati' ,
'view_index_metapodatki'
] ,
'allow_restricted_indices' : lažno
} ,
{
'imena' : [
'okno-približno-*'
] ,
'privilegiji' : [
'brati' ,
'view_index_metapodatki'
] ,
'allow_restricted_indices' : lažno
} ,
{
'imena' : [
'metrics-apm.*'
] ,
'privilegiji' : [
'brati' ,
'view_index_metapodatki'
] ,
'allow_restricted_indices' : lažno
} ,
{
'imena' : [
'metrics-apm-*'
] ,
'privilegiji' : [
'brati' ,
'view_index_metapodatki'
] ,
'allow_restricted_indices' : lažno
} ,
{
'imena' : [
'traces-apm.*'
] ,
'privilegiji' : [
'brati' ,
'view_index_metapodatki'
] ,
'allow_restricted_indices' : lažno
} ,
OPOMBA: Zgornji izhod je bil okrnjen za obseg te vadnice.
Primer 2 – Pridobite informacije o določeni vlogi
Spodnji primer vrne informacije o vlogi kibana_admin.
curl -XGET “http://localhost:9200/_security/role/kibana_admin” -H 'kbn-xsrf: poročanje'
Dobljene informacije o vlogi so prikazane:
'kibana_admin' : {
'gruča' : [ ] ,
'indeksi' : [ ] ,
'aplikacije' : [
{
'aplikacija' : 'kibana-.kibana' ,
'privilegiji' : [
'vse'
] ,
'viri' : [
'*'
]
}
] ,
'run_as' : [ ] ,
'metapodatki' : {
'_rezervirano' : prav
} ,
'prehodni_metapodatki' : {
'omogočeno' : prav
}
}
}
Pridobite informacije o vlogi v YAML
API za pridobitev vlog bo privzeto vrnil rezultat v formatu JSON. Vendar pa lahko s parametrom format izberete drugo obliko.
Sintaksa je prikazana:
DOBITI / _varnost / vloga? format =json / yaml
Na primer, da pridobimo informacije o vlogi kibana_admin v formatu YAML, lahko zaženemo:
Rezultat:
kibana_admin:
grozd: [ ]
indeksi: [ ]
aplikacije:
- aplikacija: 'kibana-.kibana'
privilegiji:
- 'vse'
viri:
- '*'
run_as: [ ]
metapodatki:
_rezervirano: prav
prehodni_metapodatki:
omogočeno: prav
Oglejte si vloge za določenega uporabnika
Če si želite ogledati informacije o določenem uporabniškem imenu (vključno z njihovimi vlogami), lahko uporabite zahtevo, kot je prikazano:
DOBITI / _varnost / uporabnik
Na primer, predpostavimo, da imamo uporabniško ime »linuxhint«, lahko pridobimo te podatke o uporabniku, kot je prikazano:
Zgornja zahteva mora vrniti podatke o uporabniku v formatu YAML, kot je prikazano:
linuxhint:
uporabniško ime: 'linux'
vloge:
- 'gledalec'
- 'watcher_user'
polno ime: 'linuxhint.com'
E-naslov: ' [email protected] '
metapodatki: { }
omogočeno: prav
Vidimo lahko, da ima uporabnik vlogi gledalec in watcher_user.
Oglejte si vloge v Kibani
Če ne želite uporabljati API-ja mačjih vlog, si lahko ogledate vloge Elasticsearch v Kibani tako, da se pomaknete na Upravljanje -> Upravljanje skladov.
Nato se pomaknite do Varnost -> Vloge
Nato si lahko ogledate in upravljate vloge.
Zaključek
V tem članku ste se naučili, kako uporabljati API Elasticsearch Roles za ogled informacij o določenih vlogah v gruči. Odkrili ste tudi, kako si ogledate vloge danega uporabniškega imena z uporabniškim API-jem.
Hvala za branje!