Alibaba Cloud Elasticsearch クラスターは、論理的に分離された仮想プライベートクラウド (VPC) にデプロイされます。ネットワークレベルのアクセス制御、認証、権限付与、暗号化、および X-Pack が提供する高度なセキュリティ機能など、複数のセキュリティレイヤーによってクラスターが保護されます。
セキュリティレイヤー
アクセス制御は 3 つのレイヤーで動作します:
ネットワークレイヤー -- IP アドレスホワイトリストは、どのホストがクラスターまたは Kibana エンドポイントに到達できるかを制御します。
認証レイヤー -- クライアントまたは Kibana を介して接続する際に、
elasticユーザーのパスワードで ID を認証します。権限付与レイヤー -- X-Pack を介したロールベースのアクセス制御 (RBAC) は、クラスター、インデックス、フィールドなどのオブジェクトに対して詳細な権限を付与します。
次の表は、各メソッドのデフォルトの状態と必要な操作をまとめたものです。
| メソッド | スコープ | デフォルトの状態 | 必要な操作 |
|---|---|---|---|
| クラスターアクセスパスワード | クラスターと Kibana の認証 | クラスター作成時に設定 | elastic ユーザーのパスワードを指定します |
| パブリック IP アドレスホワイトリスト (クラスター) | クラスターのネットワークアクセス | パブリックネットワークアクセスは無効 | パブリックネットワークアクセスを有効にし、IP アドレスを追加します |
| プライベート IP アドレスホワイトリスト (クラスター) | クラスターのネットワークアクセス | 内部ネットワークへのアクセスが許可されています | プライベートホワイトリストに IP アドレスを追加します |
| パブリック IP アドレスホワイトリスト (Kibana) | Kibana のネットワークアクセス | パブリックネットワークアクセスは有効。デフォルトのホワイトリストは 127.0.0.1,::1 (すべてのトラフィックをブロック) | ご利用の IP アドレスを Kibana パブリックホワイトリストに追加します |
| プライベート IP アドレスホワイトリスト (Kibana) | Kibana のネットワークアクセス | プライベートネットワークアクセスは無効 | プライベートネットワークアクセスを有効にし、IP アドレスを追加します |
| X-Pack RBAC | 権限付与 (クラスター、インデックス、フィールド) | クラスター作成後に利用可能 | Kibana コンソールでカスタムロールを作成し、ユーザーに割り当てます |
ネットワークアクセス制御
クラスターの IP アドレスホワイトリスト
パブリック IP アドレスホワイトリスト
デフォルトでは、Elasticsearch クラスターのパブリックネットワークアクセスは無効になっています。インターネット経由でクラスターにアクセスするには、パブリックネットワークアクセスを有効にし、ホストの IP アドレスをパブリック IP アドレスホワイトリストに追加する必要があります。
詳細については、「Elasticsearch クラスターのパブリックまたはプライベート IP アドレスホワイトリストの設定」をご参照ください。
プライベート IP アドレスホワイトリスト
デフォルトでは、Elasticsearch は内部ネットワーク経由でのクラスターへのアクセスを許可します。特定のホストへのアクセスを制限するには、その IP アドレスをプライベート IP アドレスホワイトリストに追加します。
詳細については、「Elasticsearch クラスターのパブリックまたはプライベート IP アドレスホワイトリストの設定」をご参照ください。
Kibana の IP アドレスホワイトリスト
パブリック IP アドレスホワイトリスト
デフォルトでは、Kibana のパブリックネットワークアクセスは有効になっています。ただし、デフォルトのパブリック IP アドレスホワイトリストには 127.0.0.1,::1 が含まれており、すべての IPv4 および IPv6 アドレスからのリクエストを拒否します。初めて Kibana コンソールにログインすると、パブリック IP アドレスホワイトリストを設定するように求められます。ログインする前に、ホストの IP アドレスを追加してください。
詳細については、「Kibana のパブリックまたはプライベート IP アドレスホワイトリストの設定」をご参照ください。
プライベート IP アドレスホワイトリスト
デフォルトでは、Kibana のプライベートネットワークアクセスは無効になっています。内部ネットワーク経由でホストから Kibana コンソールにログインするには、プライベートネットワークアクセスを有効にし、ホストの IP アドレスをプライベート IP アドレスホワイトリストに追加します。
詳細については、「Kibana のパブリックまたはプライベート IP アドレスホワイトリストの設定」をご参照ください。
認証
クラスターアクセスパスワード
Elasticsearch クラスターを作成する際に、デフォルトユーザーである elastic のパスワードを指定します。このパスワードは、クライアント経由でクラスターにアクセスしたり、Kibana コンソールにログインしたりする際に、ID を認証するために使用されます。
詳細については、「購入ページのパラメーター」をご参照ください。
パスワードを変更するには、クラスター詳細ページでリセットします。
詳細については、「Elasticsearch クラスターのアクセスパスワードのリセット」をご参照ください。
権限付与
X-Pack RBAC
Elasticsearch クラスター、インデックス、フィールドなどのオブジェクトに対して詳細な権限を付与するには、X-Pack プラグインが提供する RBAC メカニズムを使用します。特定の権限を持つカスタムロールを作成し、Kibana コンソールでそれらのロールをユーザーに割り当てます。
詳細については、「Elasticsearch X-Pack が提供する RBAC メカニズムを使用したアクセス制御の実装」をご参照ください。
