阿里云Elasticsearch(简称ES)通过专有网络访问、访问控制策略与系统自带的安全机制,确保了实例的高安全性。

专有网络访问

您可以通过阿里云ES实例的内网地址在专有网络环境下访问该实例。如果您对应用程序的访问环境安全性要求较高,可以购买与阿里云ES实例在同一区域、同一可用区和同一专有网络VPC(Virtual Private Cloud)下的阿里云ECS实例,将应用程序部署在ECS实例中,然后在ECS中通过ES的内网地址访问ES实例。

说明 专有网络VPC是独有的云上私有网络,与公网隔离,可以提供更加安全的访问环境。

访问控制

  • 访问白名单

    阿里云ES实例的内网地址支持系统白名单配置,只有符合内网白名单规则的IP地址所属设备,才能访问阿里云ES实例服务。详情请参见VPC私网访问白名单

    阿里云ES实例的公网地址支持公网地址访问白名单配置,只有符合公网白名单规则的IP地址所属设备,才能访问阿里云ES实例服务。详情请参见公网地址访问白名单

  • RAM访问控制

    阿里云ES实例支持访问控制(Resource Access Management,RAM)策略,每个RAM子账号之间可以实现资源隔离,并且只能查看和操作属于自己的阿里云ES实例。详情请参见权限策略检查规则

  • X-Pack角色权限管控

    阿里云ES提供了商业插件X-Pack服务(X-Pack是ES的一个商业版扩展包,将安全、告警、监控、图形和报告功能捆绑在一个易于安装的软件包中),X-Pack被集成在Kibana中,提供授权认证、角色权限管控、实时监控、可视化报表和机器学习等能力。通过X-Pack角色权限管控您可以进行索引级别的访问控制,详情请参见ES官方Security APIs文档。

系统安全

  • 阿里云ES实例支持在专有网络环境访问,可以提供更加安全的应用程序访问环境。
  • 阿里云ES实例中包含的各类型节点对应服务器都不允许用户登录。
  • 阿里云ES实例的公网地址默认禁止所有IP地址访问,必须先配置公网地址访问白名单才能访问。
  • 阿里云ES实例的内网地址和外网地址都支持访问白名单配置。
  • 阿里云ES实例的公网地址和内网地址,只开放特定的服务端口(9200/9300)。