Elasticsearch集群访问控制

阿里云Elasticsearch部署在逻辑隔离的专有网络中,结合多种网络访问控制、认证授权、安全加密能力,以及商业插件X-Pack中的高级安全措施,确保云上集群的高安全性。本文介绍阿里云Elasticsearch的访问控制措施。

设置或重置集群访问密码

在创建阿里云Elasticsearch实例时,您需要设置默认用户elastic的密码,用于客户端访问集群、登录Kibana控制台等认证。详细信息,请参见购买页面参数设置elastic密码

当您需要修改集群的访问密码时,可通过重置密码功能,重新设置elastic用户的密码。详细信息,请参见重置实例访问密码ES重置密码

设置Elasticsearch集群访问白名单

  • 公网访问白名单:出于安全考虑,阿里云Elasticsearch默认关闭公网访问功能。如果您需要通过公网访问阿里云Elasticsearch,需要手动开启公网访问,并将待访问设备的IP地址加入公网访问白名单组中。详细信息,请参见配置实例公网或私网访问白名单设置ES访问白名单

  • 私网访问白名单:阿里云Elasticsearch默认开启私网访问功能,且支持修改私网访问白名单。如果您需要在私网环境中,通过指定设备访问阿里云Elasticsearch,可将待访问设备的IP地址加入私网访问白名单组中。详细信息,请参见配置实例公网或私网访问白名单

设置Kibana访问白名单

  • 公网访问白名单:Kibana公网访问默认开启,但出于安全考虑,阿里云Elasticsearch默认将Kibana的公网访问白名单设置为127.0.0.1,::1,表示不允许任何IPv4和IPv6地址访问。首次进入Kibana控制台时,系统会提示您配置公网访问白名单,您需要将待访问设备的IP地址加入Kibana公网访问白名单中,才可以通过该设备登录Kibana控制台。详细信息,请参见配置Kibana公网或私网访问白名单设置Kibana访问白名单

  • 私网访问白名单:阿里云Elasticsearch默认关闭Kibana的私网访问功能。如果您需要在私网环境中,通过指定设备登录Kibana控制台,可手动开启Kibana私网访问功能,并将对应设备的IP地址加入Kibana的私网访问白名单组中。详细信息,请参见配置Kibana公网或私网访问白名单

X-Pack角色权限管控

当您需要设置集群、索引、字段或其他操作的访问权限时,可以通过Elasticsearch X-Pack的RBAC(Role-based Access Control)机制,在Kibana控制台中为自定义角色分配权限,并将角色分配给用户,实现权限管控。详细信息,请参见通过Elasticsearch X-Pack角色管理实现用户权限管控ES X-Pack角色管控