Gunakan mekanisme RBAC yang disediakan oleh Elasticsearch X-Pack untuk mengimplementasikan kontrol akses - Elasticsearch

Jika Anda ingin memberikan izin akses pada item seperti kluster, indeks, dan bidang, Anda dapat menggunakan mekanisme kontrol akses berbasis peran (RBAC) yang disediakan oleh Plugin X-Pack dari Elasticsearch. Mekanisme ini memungkinkan Anda memberikan izin kepada peran kustom dan menetapkan peran tersebut kepada pengguna untuk mengimplementasikan kontrol akses. Elasticsearch menyediakan berbagai macam peran bawaan. Anda dapat membuat peran kustom berdasarkan peran bawaan untuk memenuhi kebutuhan bisnis Anda. Topik ini menjelaskan cara membuat dan mengonfigurasi peran kustom untuk mengimplementasikan kontrol akses.

Informasi latar belakang

Elasticsearch mendukung mekanisme RBAC yang disediakan oleh Plugin X-Pack. Untuk informasi lebih lanjut, lihat Otorisasi Pengguna.
Elasticsearch mendukung berbagai fitur otentikasi keamanan. Untuk informasi lebih lanjut, lihat Otentikasi dan Otorisasi dalam Elasticsearch.

Prosedur

null

Topik ini menyediakan operasi pada kluster V6.7 dan operasi pada kluster V7.X. Operasi pada kluster versi lain mungkin berbeda. Operasi sebenarnya di konsol yang berlaku.

Buat Peran.

Masuk ke Konsol Kibana dan buka halaman utama Kibana sesuai petunjuk.
Untuk informasi lebih lanjut, lihat Masuk ke Konsol Kibana.
Pergi ke Halaman Manajemen Konfigurasi.
- Kluster V6.7: Di panel navigasi sisi kiri, klik Management.
- Kluster V7.X: Klik ikon di pojok kiri atas dan pilih Management > Stack Management.
Di bagian Security, klik Roles.

Di bagian Peran, klik Create role. Lalu, konfigurasikan parameter berikut.

Enter role information

Parameter	Deskripsi
Role name	Nama peran.
Cluster privileges	Hak operasi pada kluster, seperti hak untuk melihat status kesehatan dan pengaturan kluster serta hak untuk membuat snapshot. Untuk informasi lebih lanjut, lihat Hak istimewa kluster.
Run As privileges	Pengguna yang mengambil alih peran. Parameter ini opsional. Jika Anda tidak mengonfigurasi parameter ini, Anda dapat menetapkan peran kepada pengguna saat membuat pengguna. Untuk informasi lebih lanjut, lihat Buat pengguna.
Index privileges	Hak operasi pada indeks. Misalnya, jika Anda ingin memberikan peran hak baca-saja pada semua bidang di semua indeks, atur parameter Indeks ke tanda bintang () dan parameter Hak istimewa ke read. Anda dapat mengatur parameter Indeks ke tanda bintang atau ekspresi reguler. Untuk informasi lebih lanjut, lihat Hak istimewa indeks. Saat mengonfigurasi parameter Hak istimewa indeks, Anda perlu mengonfigurasi parameter berikut: Indices: Pola indeks, seperti heartbeat-. null Jika tidak ada pola indeks yang tersedia, klik Index Pattern di bagian Kibana dari halaman Management dan buat pola indeks sesuai petunjuk. Privileges: hak yang ingin Anda berikan kepada peran. Granted fields (optional): bidang tempat Anda ingin memberikan hak. Parameter ini opsional.
Kibana privileges	Hak operasi pada Kibana. null Versi sebelum Kibana V7.0 hanya mendukung hak dasar. Kibana V7.0 dan seterusnya mendukung hak dasar dan hak fitur. Setelah Anda menetapkan hak dasar kepada peran, peran tersebut memiliki hak akses pada semua ruang Kibana. Setelah Anda menetapkan hak fitur kepada peran, peran tersebut memiliki hak akses hanya pada fitur tertentu. Saat menetapkan hak fitur, Anda harus menentukan ruang Kibana.

Saat membuat peran, Anda harus memberikan hak kepada peran. Dalam contoh ini, hak berikut diberikan:

Hak baca-saja pada indeks tertentu. Dalam hal ini, pengguna yang mengambil alih peran hanya dapat digunakan untuk mengakses indeks dan tidak dapat melakukan operasi lainnya.
Untuk informasi lebih lanjut, lihat Konfigurasikan Hak Baca-Saja pada Indeks.
Hak untuk melihat semua atau beberapa dashboard.
Untuk informasi lebih lanjut, lihat Konfigurasikan Hak Operasi pada Dashboard.
Hak baca dan tulis pada beberapa indeks serta hak baca-saja pada kluster, seperti hak untuk melihat status kesehatan kluster, snapshot, dan pengaturan indeks, menulis data ke indeks, atau memperbarui pemetaan indeks.
Untuk informasi lebih lanjut, lihat Konfigurasikan Hak Baca dan Tulis pada Indeks dan Hak Baca-Saja pada Kluster Anda.
Hak baca-saja pada halaman Discover konsol Kibana dan hak baca-saja pada indeks tertentu. Dalam hal ini, pengguna yang mengambil alih peran dapat digunakan untuk melihat data di indeks pada halaman Discover.
Untuk informasi lebih lanjut, lihat Konfigurasikan Hak Baca-Saja pada Halaman Discover dan Indeks Tertentu.
Hak untuk membuat dan menghapus indeks, memodifikasi konfigurasi indeks, serta menambah, menghapus, memodifikasi, dan menanyakan dokumen. Selain itu, hak untuk masuk ke konsol Kibana dicabut.
Untuk informasi lebih lanjut, lihat Konfigurasikan Hak untuk Membuat dan Menghapus Indeks, Memodifikasi Konfigurasi Indeks, serta Menambah, Menghapus, Memodifikasi, dan Menanyakan Dokumen.

Klik Create role.

Buat Pengguna dan Tetapkan Peran kepada Pengguna.

Pergi ke Halaman Manajemen Konfigurasi.
- Kluster V6.7: Di panel navigasi sisi kiri, klik Management.
- Kluster V7.X: Klik ikon di pojok kiri atas dan pilih Management > Stack Management.
Di bagian Security, klik Users.

Di pojok kanan atas bagian Pengguna, klik Create new user. Lalu, konfigurasikan parameter berikut.

Create a user

Parameter	Deskripsi
Username	Nama pengguna, yang digunakan untuk masuk ke konsol Kibana. Tentukan nama pengguna berdasarkan kebutuhan bisnis Anda.
Password	Kata sandi pengguna, yang digunakan untuk masuk ke konsol Kibana. Tentukan nama pengguna berdasarkan kebutuhan bisnis Anda.
Confirm password	Nilai harus sama dengan parameter Password.
Full name	Nama lengkap pengguna. Tentukan nama lengkap berdasarkan kebutuhan bisnis Anda.
Email address	Alamat email pengguna.
Roles	Peran yang ingin Anda tetapkan kepada pengguna. Anda dapat menentukan satu atau lebih peran. Peran tersebut dapat berupa peran bawaan atau peran kustom. null Jika Anda menentukan pengguna saat membuat peran, Anda masih perlu menentukan parameter ini. Jika tidak, kesalahan akan dilaporkan saat Anda masuk ke konsol Kibana sebagai pengguna.

Klik Create user.

Masuk ke Konsol Kibana sebagai Pengguna dan Lakukan Operasi untuk Memeriksa Apakah Pengguna Memiliki Hak Terkait.

Konfigurasikan hak baca-saja pada indeks

Skenario

Berikan hak baca-saja pada indeks tertentu kepada pengguna umum. Dalam hal ini, pengguna dapat digunakan untuk menanyakan data dari indeks di konsol Kibana tetapi tidak dapat mengakses kluster.

Konfigurasi peran

Read-only permissions on a specific index

Tabel 1. Deskripsi Hak

Jenis hak	Kunci hak	Nilai hak	Deskripsi
Index privileges	indices	kibana_sample_data_logs	Nama indeks. Anda dapat menentukan nama indeks lengkap, alias, wildcard, atau ekspresi reguler. Untuk informasi lebih lanjut, lihat Hak istimewa indeks.
	privileges	read	Hak baca-saja pada indeks. Hak baca-saja mencakup hak untuk memanggil API count, explain, get, mget, scripts, search, dan scroll. Untuk informasi lebih lanjut, lihat daftar hak istimewa indeks.
	Granted fields (optional)	*	Bidang tempat Anda ingin memberikan hak. Nilai * menunjukkan semua bidang.
Kibana privileges	privileges	read	Hak baca-saja pada Kibana. Hak tersebut diberikan ke semua ruang. Nilai default: none. Nilai ini menunjukkan bahwa tidak ada ruang yang diotorisasi untuk mengakses Kibana. null Versi sebelum Kibana V7.0 hanya mendukung hak dasar. Kibana V7.0 dan seterusnya mendukung hak dasar dan hak fitur. Setelah Anda menetapkan hak dasar kepada peran, peran tersebut memiliki hak akses pada semua ruang Kibana. Setelah Anda menetapkan hak fitur kepada peran, peran tersebut memiliki hak akses hanya pada fitur tertentu. Saat menetapkan hak fitur, Anda harus menentukan ruang Kibana.

Verifikasi

Masuk ke Konsol Kibana sebagai pengguna umum dan jalankan perintah baca indeks. Sistem mengembalikan hasil sesuai harapan.
```
GET /kibana_sample_data_logs/_search
```
Jalankan perintah tulis indeks. Sistem mengembalikan pesan kesalahan. Pesan tersebut menunjukkan bahwa pengguna tidak berwenang untuk melakukan operasi tulis.
```
POST /kibana_sample_data_logs/_doc/1
{
    "productName": "testpro",
    "annual_rate": "3.22%",
    "describe": "testpro"
}
```

Konfigurasikan hak operasi pada dashboard

Skenario

Berikan hak baca-saja pada indeks tertentu dan hak untuk melihat dashboard untuk indeks kepada pengguna umum.

Konfigurasi peran

Saat Anda membuat pengguna, tetapkan peran read-index dan kibana_dashboard_only_user kepada pengguna. Role configuration

read-index: peran kustom. Anda harus secara manual membuat peran tersebut. Peran ini memiliki hak baca-saja pada indeks tertentu.
kibana_dashboard_only_user: peran bawaan Kibana. Peran ini memiliki hak untuk melihat dashboard untuk indeks.
null
- Di Kibana V7.0 dan seterusnya, peran kibana_dashboard_only_user sudah tidak digunakan lagi. Jika Anda ingin melihat dashboard untuk indeks tertentu, Anda hanya perlu mengonfigurasi hak baca-saja pada indeks. Untuk informasi lebih lanjut, lihat Konfigurasikan Hak Baca-Saja pada Indeks.
- Peran kibana_dashboard_only_user dapat digunakan dengan peran kustom dalam berbagai skenario. Jika Anda ingin mengonfigurasi fitur Dashboards only roles hanya untuk peran kustom, lakukan langkah-langkah berikut: Di bagian Kibana dari halaman Management, klik Advanced Settings. Lalu, di bagian Dashboard dari halaman yang muncul, atur parameter Dashboard only roles ke peran kustom. Nilai default parameter ini adalah kibana_dashboard_only_user.

Verifikasi

Masuk ke Konsol Kibana sebagai pengguna umum dan lihat dashboard untuk indeks tertentu. View dashboards

Konfigurasikan hak baca dan tulis pada indeks serta hak baca-saja pada kluster Anda

Skenario

Berikan hak baca, tulis, dan hapus pada indeks tertentu serta hak baca-saja pada kluster dan Kibana kepada pengguna umum.

Konfigurasi peran

Read and write permissions on indexes and read-only permissions on a cluster

Tabel 2. Deskripsi Hak

Jenis hak	Kunci hak	Nilai hak	Deskripsi
Cluster privileges	cluster	monitor	Hak baca-saja pada kluster, seperti hak untuk melihat status berjalan, status kesehatan, hot threads, informasi node, dan tugas yang diblokir dari kluster.
Index privileges	indeks	heartbeat-,library	Nama indeks. Anda dapat menentukan nama indeks lengkap, alias, wildcard, atau ekspresi reguler. Untuk informasi lebih lanjut, lihat hak istimewa indeks.
	hak istimewa	read	Hak baca-saja pada indeks. Hak baca-saja mencakup hak untuk memanggil API count, explain, get, mget, scripts, search, dan scroll. Untuk informasi lebih lanjut, lihat daftar hak istimewa indeks.
		create_index	Hak untuk membuat indeks. Jika Anda ingin menentukan alias untuk indeks saat membuat indeks sebagai pengguna, Anda harus memberikan hak manage kepada pengguna. null Alias tersebut harus memenuhi aturan pencocokan yang ditentukan oleh parameter Indeks.
		view_index_metadata	Hak baca-saja pada metadata indeks. Hak tersebut mencakup hak untuk memanggil API berikut: aliases, aliases exists, get index, exists, field mappings, mappings, search shards, type exists, validate, warmers, settings, dan ilm.
		write	Hak untuk melakukan semua operasi tulis pada dokumen. Operasi tersebut mencakup pembaruan pemetaan dan operasi yang dilakukan dengan memanggil API indeks, update, delete, atau bulk. Hak tulis mencakup lebih banyak hak operasi daripada hak create dan index.
		monitor	Hak untuk memantau semua operasi. Operasi tersebut mencakup operasi yang dilakukan dengan memanggil API index recovery, segments info, index stats, atau status.
		delete	Hak untuk menghapus dokumen.
		delete_index	Hak untuk menghapus indeks.
	bidang yang diberikan hak	*	Bidang tempat Anda ingin memberikan hak. Nilai * menunjukkan semua bidang.
Kibana privileges	hak istimewa	read	Hak baca-saja pada Kibana. Hak tersebut diberikan ke semua ruang. Nilai default: none. Nilai ini menunjukkan bahwa tidak ada ruang yang diotorisasi untuk mengakses Kibana. null Versi sebelum Kibana V7.0 hanya mendukung hak dasar. Kibana V7.0 dan seterusnya mendukung hak dasar dan hak fitur. Setelah Anda menetapkan hak dasar kepada peran, peran tersebut memiliki hak akses pada semua ruang Kibana. Setelah Anda menetapkan hak fitur kepada peran, peran tersebut memiliki hak akses hanya pada fitur tertentu. Saat menetapkan hak fitur, Anda harus menentukan ruang Kibana.

Verifikasi

Masuk ke Konsol Kibana sebagai pengguna umum dan jalankan perintah berikut. Sistem mengembalikan hasil sesuai harapan. Verification

Lihat detail tentang indeks dalam kluster
```
GET /_cat/indices?v
```
Lihat status kluster
```
GET /_cluster/stats
```
Tanyakan data dalam indeks product_info
```
GET /product_info/_search
```
Tanyakan data dalam indeks product_info1
```
GET /product_info1/_search
```

Gunakan permintaan POST untuk menulis data ke indeks kibana_sample_data_logs

POST /kibana_sample_data_logs/_doc/2
{
    "productName": "testpro",
    "annual_rate": "3.22%",
    "describe": "testpro"
}

Gunakan permintaan PUT untuk menulis data ke indeks product_info2

PUT /product_info2/_doc/1
{
    "productName": "testpro",
    "annual_rate": "3.22%",
    "describe": "testpro"
}

Hapus indeks product_info
```
DELETE product_info
```

Konfigurasikan hak baca-saja pada halaman Discover dan indeks tertentu

Skenario

Berikan hak baca-saja pada halaman Discover konsol Kibana dan hak baca-saja pada indeks tertentu kepada pengguna umum. Dengan cara ini, pengguna dapat digunakan untuk melihat data di indeks pada halaman Discover.

Konfigurasi peran

Read-only permissions on the Discover page and a specific index

Tabel 3. Deskripsi Hak

Jenis hak	Kunci hak	Nilai hak	Deskripsi
Cluster privileges	Hak istimewa	monitor	Hak baca-saja pada kluster Anda, seperti hak untuk melihat status berjalan, status kesehatan, hot threads, informasi node, statistik node dan kluster, dan tugas yang diblokir dari kluster.
Index privileges	Indeks	kibana_sample_data_ecommerce	Nama indeks. Anda dapat menentukan nama indeks lengkap, alias, wildcard, atau ekspresi reguler. Untuk informasi lebih lanjut, lihat Hak istimewa indeks.
	Hak istimewa	read	Hak baca-saja pada indeks. Hak baca-saja mencakup hak untuk memanggil API count, explain, get, mget, scripts, search, dan scroll. Untuk informasi lebih lanjut, lihat daftar hak istimewa indeks.
	Bidang yang diberikan hak (opsional)	*	Bidang tempat Anda ingin memberikan hak. Nilai `*` menunjukkan semua bidang.
Kibana privileges	Hak istimewa	read	Hak baca-saja pada Kibana. Hak tersebut diberikan ke semua ruang. Nilai default: none. Nilai ini menunjukkan bahwa tidak ada ruang yang diotorisasi untuk mengakses Kibana. null Versi sebelum Kibana V7.0 hanya mendukung hak dasar. Kibana V7.0 dan seterusnya mendukung hak dasar dan hak fitur. Setelah Anda menetapkan hak dasar kepada peran, peran tersebut memiliki hak akses pada semua ruang Kibana. Setelah Anda menetapkan hak fitur kepada peran, peran tersebut memiliki hak akses hanya pada fitur tertentu. Saat menetapkan hak fitur, Anda harus menentukan ruang Kibana. Misalnya, saat menetapkan hak baca-saja pada halaman Discover konsol Kibana, Anda harus menentukan ruang Kibana.

Verifikasi

Masuk ke Konsol Kibana sebagai pengguna umum dan lihat data di indeks pada halaman Discover. View index data on the Discover page

Konfigurasikan hak untuk membuat dan menghapus indeks, memodifikasi konfigurasi indeks, serta menambah, menghapus, memodifikasi, dan menanyakan dokumen

Skenario

Berikan hak untuk membuat dan menghapus indeks, memodifikasi konfigurasi indeks, serta menambah, menghapus, memodifikasi, dan menanyakan dokumen kepada pengguna umum. Selain itu, larang pengguna masuk ke konsol Kibana.

Konfigurasi peran

Role configuration

Tabel 4. Deskripsi Hak

Jenis hak	Kunci hak	Nilai hak	Deskripsi
Index privileges	Indeks	test*	Nama indeks. Anda dapat menentukan nama indeks lengkap, alias, wildcard, atau ekspresi reguler. Untuk informasi lebih lanjut, lihat Hak istimewa indeks.
	Hak istimewa	create_index	Hak untuk membuat indeks. Jika Anda ingin menentukan alias untuk indeks saat membuat indeks sebagai pengguna, Anda harus memberikan hak manage kepada pengguna.
		delete_index	Hak untuk menghapus indeks.
		index	Hak untuk mengindeks dokumen, memperbarui dokumen, dan memperbarui pemetaan indeks.
		delete	Hak untuk menghapus dokumen.
		read	Hak baca-saja pada indeks. Hak baca-saja mencakup hak untuk memanggil API count, explain, get, mget, scripts, search, dan scroll. Untuk informasi lebih lanjut, lihat daftar hak istimewa indeks.
		manage	Hak untuk mengelola indeks. Operasi manajemen yang dapat Anda lakukan mencakup operasi yang dilakukan dengan memanggil API aliases, analyze, cache clear, close, delete, exists, flush, mapping, open, force merge, refresh, settings, search shards, templates, atau validate.
	Bidang yang diberikan hak (opsional)	*	Bidang tempat Anda ingin memberikan hak. Nilai `*` menunjukkan semua bidang.
Kibana privileges	Hak istimewa	none	Nilai default parameter ini adalah none. Nilai ini menunjukkan bahwa tidak ada ruang yang diotorisasi untuk mengakses Kibana. null Versi sebelum Kibana V7.0 hanya mendukung hak dasar. Kibana V7.0 dan seterusnya mendukung hak dasar dan hak fitur. Setelah Anda menetapkan hak dasar kepada peran, peran tersebut memiliki hak akses pada semua ruang Kibana. Setelah Anda menetapkan hak fitur kepada peran, peran tersebut memiliki hak akses hanya pada fitur tertentu. Saat menetapkan hak fitur, Anda harus menentukan ruang Kibana.

Verifikasi

Akses kluster Anda, buat indeks di kluster, dan hapus indeks tersebut.
Modifikasi konfigurasi indeks. Dalam contoh ini, data di indeks ditentukan sebagai data dingin.
Tambah, hapus, modifikasi, dan tanyakan dokumen.
Masuk ke Konsol Kibana.
Sistem meminta bahwa pengguna tidak memiliki hak yang diperlukan.