各位 CSDN 的小伙伴们,大家好!博主正在参与 2025 年 CSDN 博客之星的评选活动,非常需要大家的支持!一直以来,博主专注于大数据、云计算、人工智能等融合方向研究,从基础概念到实战技巧,都精心撰写每一篇文章。博主致力于将复杂的技术知识以通俗易懂的方式呈现,帮助众多初学者快速入门,也为有经验的开发者提供新的思路与视角。在这个活动中,您的一票对我意义重大。您的支持 💖💖💖 将激励 🔥 博主输出更多优质内容!!!
投票链接 :https://www.csdn.net/blogstar2025/detail/112
OpenDistro/OpenSearch 内置系统角色分析
- 1.心角色分类
- 2.详细角色分析
-
- [2.1 Kibana 角色组](#2.1 Kibana 角色组)
- [2.2 告警系统角色组](#2.2 告警系统角色组)
- [2.3 数据访问角色组](#2.3 数据访问角色组)
- [2.4 管理角色组](#2.4 管理角色组)
- [2.5 快照与复制角色组](#2.5 快照与复制角色组)
- [2.6 机器学习角色组](#2.6 机器学习角色组)
- [2.7 工具插件角色组](#2.7 工具插件角色组)
- 3.重要字段说明
- 4.实际使用模式
-
- [4.1 定义映射示例](#4.1 定义映射示例)
- [4.2 多租户数据隔离](#4.2 多租户数据隔离)
- [4.3 团队权限分配](#4.3 团队权限分配)
- [5.与原生 Elasticsearch 的区别](#5.与原生 Elasticsearch 的区别)
- 6.安全最佳实践
1.心角色分类
| 类别 |
包含角色 |
特点 |
| Kibana 相关 |
kibana_user、kibana_server、kibana_read_only |
管理 Kibana 访问权限 |
| 告警相关 |
alerting_full_access、alerting_read_access、alerting_ack_alerts |
OpenDistro Alerting 插件权限 |
| 数据访问 |
readall、readall_and_monitor、own_index |
数据读取和监控权限 |
| 系统管理 |
all_access |
超级管理员权限 |
| 跨集群复制 |
cross_cluster_replication_* |
跨集群数据复制 |
| 机器学习 |
anomaly_full_access、anomaly_read_access |
异常检测权限 |
| 工具插件 |
reports_*、notebooks_*、asynchronous_search_* |
报表、笔记本、异步搜索等 |
2.详细角色分析
2.1 Kibana 角色组
| 角色 |
权限说明 |
应用场景 |
kibana_user |
• 集群组合操作权限 • Kibana 相关索引读写(.kibana*) |
Kibana 普通用户,可以创建/保存仪表板、可视化 |
kibana_read_only |
• 只读权限 |
只查看 Kibana 内容的用户 |
kibana_server |
• 集群监控权限 • Kibana 索引管理 • 模板管理权限 |
Kibana 服务器账户,用于 Kibana 服务自身运行 |
2.2 告警系统角色组
| 角色 |
权限说明 |
应用场景 |
alerting_full_access |
• 集群监控 • 所有告警管理操作 (cluster:admin/opendistro/alerting/*) • 所有索引访问 |
告警系统管理员,可以创建、修改、删除告警规则 |
alerting_read_access |
• 查看告警、监控器、目的地 |
告警查看者,只能查看告警状态 |
alerting_ack_alerts |
• 确认/处理告警(alerts/*) |
运维人员,可以确认和处理告警 |
2.3 数据访问角色组
| 角色 |
权限说明 |
应用场景 |
readall |
• 只读集群操作(cluster_composite_ops.ro) • 所有索引读取权限 |
数据分析师,需要读取所有数据但不需要写入 |
readall_and_monitor |
• 集群监控权限 • 只读集群操作 |
监控人员,需要读取数据和监控集群状态 |
own_index |
• 集群组合操作 • 只能访问与自己用户名相同的索引(${user_name}) |
多租户场景,每个用户有独立的索引空间 |
2.4 管理角色组
| 角色 |
权限说明 |
应用场景 |
all_access |
• 所有集群权限(*) • 所有索引权限(*) • 关联内部用户:admin |
系统超级管理员 |
security_rest_api_access |
安全 REST API 访问权限 |
安全管理员,管理用户和角色 |
2.5 快照与复制角色组
| 角色 |
权限说明 |
应用场景 |
manage_snapshots |
• 管理快照权限 • 所有索引权限 • 关联后端角色:snapshotrestore |
备份管理员,管理快照和恢复操作 |
cross_cluster_replication_leader/follower |
跨集群复制管理权限 |
跨集群数据同步管理员 |
2.6 机器学习角色组
| 角色 |
权限说明 |
应用场景 |
anomaly_full_access |
• 集群监控 • 所有异常检测操作(cluster:admin/opendistro/ad/*) • 所有索引访问 |
机器学习工程师,创建和管理异常检测作业 |
anomaly_read_access |
• 查看异常检测信息、搜索结果 |
业务分析人员,查看异常检测结果 |
2.7 工具插件角色组
| 角色 |
权限说明 |
应用场景 |
reports_*_access |
报表系统操作权限 |
报表生成和管理人员 |
notebooks_*_access |
笔记本操作权限 |
数据科学家,使用 Notebook 分析数据 |
asynchronous_search_*_access |
异步搜索操作权限 |
大数据量查询用户 |
3.重要字段说明
| 字段 |
说明 |
示例 |
Internal users |
自动分配该角色的内部用户 |
own_index → *(所有用户) all_access → admin |
Backend roles |
来自外部系统的角色自动映射 |
logstash → logstash(LDAP 组) manage_snapshots → snapshotrestore |
Tenants |
Kibana 多租户空间的访问权限 |
Kibana Spaces 功能相关 |
Customization |
Reserved 表示系统保留,不可修改 |
所有内置角色都标记为 Reserved |
4.实际使用模式
4.1 定义映射示例
# Logstash 服务账户配置
logstash.yml:
xpack.security.authc:
roles_mapping:
logstash:
backend_roles: ["logstash"] # 自动获得 logstash 角色权限
4.2 多租户数据隔离
own_index 角色实现:用户 alice 只能访问索引 alice- 适合 SaaS 平台,每个客户有独立索引
4.3 团队权限分配
开发团队:
backend_roles: ["developers"]
映射到: readall_and_monitor + kibana_user
运维团队:
backend_roles: ["operations"]
映射到: alerting_full_access + manage_snapshots
5.与原生 Elasticsearch 的区别
| 特性 |
OpenDistro/OpenSearch |
原生 Elasticsearch |
| 告警系统 |
cluster:admin/opendistro/alerting/* |
cluster:monitor/elastic_alerting/* |
| 机器学习 |
cluster:admin/opendistro/ad/* |
cluster:monitor/ml/* |
| 角色名称 |
all_access(超级管理员) |
superuser |
| 插件集成 |
深度集成 OpenDistro 插件 |
模块化 X-Pack 插件 |
6.安全最佳实践
-
1️⃣ 避免直接使用 all_access
错误: 所有操作都用 admin 账户
正确: 创建细分角色,如 data_engineer、monitoring_admin
-
2️⃣ 利用后端角色映射
// 将 LDAP 组映射到 OpenDistro 角色
PUT /_opendistro/_security/api/rolesmapping/logstash
{
"backend_roles": ["logstash-team"],
"hosts": [],
"users": []
}
-
3️⃣ 定期审计角色使用
- 检查
Reserved 角色是否被修改
- 监控异常权限使用
这些内置角色为 OpenDistro/OpenSearch 提供了完整的安全框架,特别是针对其特有的插件功能进行了优化设计。