阿里云Elasticsearch通过专有网络访问、访问控制策略与系统自带的安全机制,确保了实例的高安全性。

专有网络访问

您可以通过阿里云Elasticsearch实例的内网地址在专有网络环境下访问该实例。如果您对应用程序的访问环境安全性要求较高,可以通过购买与阿里云Elasticsearch实例相同Region和VPC的阿里云ECS实例,将应用程序部署在ECS实例中,然后通过Elasticsearch的内网地址来访问服务。

说明 专有网络(VPC)是您自己独有的云上私有网络,与公网隔离,可以提供更加安全的访问环境。

访问控制

  • 访问白名单

    阿里云Elasticsearch实例的内网地址支持系统白名单配置,只有符合Elasticsearch系统白名单规则的IP地址所属设备,才能访问阿里云Elasticsearch实例服务。详情请参见VPC私网访问白名单

    阿里云Elasticsearch实例的公网地址支持公网地址访问白名单配置,只有公网地址访问白名单中的IP地址所属设备,才能访问阿里云Elasticsearch实例服务。详情请参见公网地址访问白名单

  • RAM访问控制

    阿里云Elasticsearch控制台支持RAM访问控制策略,每个RAM子账号之间可以实现资源隔离,并且只能查看和操作属于自己的阿里云Elasticsearch实例。详情请参见权限策略检查规则

  • X-Pack角色权限管控

    阿里云Elasticsearch提供了商业插件X-Pack服务(X-Pack是Elasticsearch的一个商业版扩展包,将安全、告警、监控、图形和报告功能捆绑在一个易于安装的软件包中),X-Pack被集成在Kibana中,为您提供授权认证、角色权限管控、实时监控、可视化报表和机器学习等能力,通过X-Pack角色权限管控您可以进行索引级别的访问控制。详情请参见Elasticsearch官方Security APIs文档。

系统安全

  • 阿里云Elasticsearch实例支持在专有网络环境访问,可以提供更加安全的应用程序访问环境。
  • 阿里云Elasticsearch实例中包含的各类型节点对应服务器都不允许用户登录。
  • 阿里云Elasticsearch实例的公网地址默认禁止所有IP地址访问,必须先配置公网地址访问白名单才能访问。
  • 阿里云Elasticsearch实例的内网地址和外网地址都支持配置访问白名单。
  • 阿里云Elasticsearch实例的公网地址和内网地址,只开放特定的Elasticsearch服务端口(9200/9300)。
    注意 阿里云Elasticsearch 6.3.2 with X-Pack版本不支持 9300端口。