专有网络访问

阿里云ES实例支持通过内网地址在专有网络环境访问,如果您对应用程序访问环境安全性有比较高的要求,您可以通过购买与阿里云ES实例相同Region和VPC的阿里云ECS实例,将应用程序部署在阿里云ECS实例中通过阿里云ES内网地址来访问服务。

说明 专有网络(VPC)可以实现与公网隔离,因此可以提供更加安全的访问环境。

访问控制

访问白名单

阿里云ES实例的内网地址支持配置ES系统黑白名单,只有符合ES系统黑白名单规则的IP地址所属设备才能访问阿里云ES实例服务,详情请参见VPC私网访问白名单

阿里云ES实例的公网地址支持配置公网地址访问白名单,只有公网地址访问白名单中的IP地址所属设备才能访问阿里云ES实例服务,详情请参见公网地址访问白名单

RAM访问控制

阿里云ES控制台支持RAM访问控制策略,每个RAM子账号之间可以实现资源隔离,并且只能查看属于自己的阿里云ES实例详情,以及操作属于自己的阿里云ES实例。详情请参见访问鉴权规则

X-Pack角色权限管控

阿里云ES提供了商业插件X-Pack服务(X-Pack是Elasticsearch的一个商业版扩展包,将安全,警告,监视,图形和报告功能捆绑在一个易于安装的软件包中),X-Pack被集成在Kibana中,为用户提供授权认证、角色权限管控、实时监控、可视化报表、机器学习等能力,可以通过X-Pack角色权限管控做索引级别的访问控制。详情请参见ES官方Security APIs文档。

系统安全

  • 阿里云ES实例支持在专有网络环境访问,可以提供更加安全的应用程序访问环境。
  • 阿里云ES实例中包含的各类型节点对应服务器都不允许用户登录。
  • 阿里云ES实例的公网地址默认禁止所有IP地址访问,必须先配置公网地址访问白名单才能访问。
  • 阿里云ES实例的内网地址和外网地址都支持配置访问白名单。
  • 阿里云ES实例的公网地址和内网地址,只开放特定的ES服务端口(9200/9300)。
    说明 阿里云ES 6.3.2 with X-Pack版本,不支持 9300端口。