ElasticSearch新角色的创建及新用户的创建

问题分析

我们存在使用elastic用户操作ES的情况，但是随着安全、合规的要求，企业逐步的规范客户端不能使用elastic的用户，我们就面临着创建角色和用户的需求。

本文就角色新建、用户新建来展开为开发者提供帮助，涉及到角色的新建及角色权限的设置，用户和角色的绑定。
步骤一：创建新角色并赋予权限
首先创建一个新角色，例如我们称之为 index_manager，并赋予它管理索引和文档所需的权限。

创建新角色

角色为 ‘index_manager’，授予对特定索引模式的增删改查权限

PUT /_security/role/index_manager{
  "cluster": ["manage_index_templates", "monitor"], 
  # 授予管理索引模板和监控集群的权限
  "indices": [
    {
      "names": ["*"], 
      # 允许操作所有索引。出于安全考虑，在生产环境中建议替换为具体的索引模式，例如 "myapp-*"
      "privileges": [
        "all"
      ], 
      # 授予所有索引操作权限。可根据需要细化为 "create_index", "delete_index", "write", "read" 等
      "field_security": { 
        # 字段级安全性（可选配置）：限制对文档特定字段的访问
        "grant": ["*"] 
        # 允许访问所有字段。可以设置为 ["field1", "field2"] 来只允许访问特定字段
      }
    }
  ],
  "applications": [
    {
      "application": "kibana-.kibana",
      "privileges": ["all"],
      "resources": ["*"]
    }
  ]}

参数解释 ：

cluster: 定义集群级别的操作权限，如管理索引模板、监控集群状态等。

indices: 定义索引级别的权限，这是核心配置。

names: 指定此角色可操作的索引名称，支持通配符，如 logstash-*。

privileges: 指定对此索引的操作权限，如 create_index（创建索引）、delete_index（删除索引）、write（写入文档）、read（搜索和读取文档）、manage（索引管理）等。all 表示所有权限。

field_security (可选): 进行字段级权限控制，可以限制用户只能访问或禁止访问文档中的某些字段。

applications: 配置访问 Kibana 等应用的权限。

🔔 注意：为安全起见，应遵循最小权限原则。如果新用户不需要管理所有索引，应将 names 中的 * 替换为更具体的索引模式（如 app1-*），并根据实际需要细化 privileges 列表，避免直接使用 all。

步骤二：创建新用户并分配角色
创建完角色后，就可以创建新用户（例如 new_admin_user）并将其与刚才创建的角色关联。

创建新用户

新用户为 ‘new_admin_user’，为其分配角色

PUT /_security/user/new_admin_user
{
  "password": "your_strong_password_here", 
  # 请务必设置一个强密码
  "roles": ["index_manager"], 
  # 分配之前创建的角色。可以同时分配多个角色，如 ["role1", "role2"]
  "full_name": "New Administrator",
  "email": "newadmin@example.com"
}

创建成功后，你就可以使用 new_admin_user 和其密码进行认证，并执行索引和文档的增删改查操作了。

补充其他操作

在操作过程中，有可能我们创建的角色权限有变化了，这个时候需要我们删除角色重新建角色

删除角色:

DELETE /_security/role/index_manager

• 删除前提：确保没有用户正在使用这个角色。如果还有用户绑定着这个角色，虽然角色本身可以被删除，但这会导致相应用户失去权限，可能无法正常访问 Elasticsearch。

删除用户

要删除之前创建的 new_admin_user 用户，使用以下命令：

DELETE /_security/user/new_admin_user

删除影响：删除用户后，该用户将立即无法登录 Elasticsearch 或执行任何操作。

角色和用户的绑定关系

既然删除角色钱要确定有哪些用户使用了该角色，我们就需要通过命令查询。
在 Elasticsearch 中，查看一个特定角色（例如你之前创建的 index_manager 角色）被分配给了哪些用户，并没有一个直接的 API 可以一键查询“某个角色关联了所有哪些用户”。不过，你可以通过 先获取所有用户信息，再逐个筛选其角色列表 的方式来实现。

你可以通过以下流程来理解和操作角色与用户的绑定关系查询：

下面是具体的操作命令和步骤。

📌 操作命令与步骤
获取所有用户的详细信息：
使用 GET /_security/user API 可以获取集群中所有用户的详细信息，包括每个用户被分配的角色列表。

GET /_security/user?pretty

这个命令会返回一个包含所有用户对象的 JSON。每个用户对象中都包含一个 roles 字段，这是一个数组，列出了该用户被授予的所有角色。

在返回结果中查找目标角色：
你需要手动或通过脚本解析上述命令返回的 JSON 结果，检查每个用户的 roles 数组。如果某个用户的 roles 数组中包含你关心的角色名（例如 index_manager），那么这个用户就被绑定了该角色。

💡 操作示例
假设你执行了 GET /_security/user?pretty，可能会得到类似下面这样的结果（这里是一个简化的示例）：

{
  "new_admin_user" : {
    "username" : "new_admin_user",
    "roles" : [
      "index_manager",  // 这个用户拥有 index_manager 角色
      "another_role"
    ],
    ...
  },
  "elastic" : {
    "username" : "elastic",
    "roles" : [
      "superuser"  // 这个用户没有 index_manager 角色
    ],
    ...
  },
  "a_test_user" : {
    "username" : "a_test_user",
    "roles" : [
      "index_manager"  // 这个用户也拥有 index_manager 角色
    ],
    ...
  }
}

从上面的示例可以看出，用户 new_admin_user 和 a_test_user 的 roles 数组中都包含 “index_manager”，因此这两个用户都被绑定了 index_manager 角色。

⚠️ 注意事项
权限要求：执行 GET /_security/user 查询用户信息需要当前操作者拥有较高的权限，通常是 manage_security 集群权限。超级用户 elastic 默认拥有此权限。

结果筛选：如果用户数量很多，手动筛选会比较繁琐。你可以考虑使用 jq 等 JSON 处理工具在命令行中自动过滤，或者编写脚本（如 Python 脚本）来解析返回的 JSON，并直接输出绑定特定角色的用户名列表。

Kibana 界面查看（可选）：如果你安装了 Kibana，并且有权限访问，也可以通过 Kibana 的图形化界面查看。路径通常是 Management -> Security -> Users。在用户列表中，你可以看到每个用户分配的角色，然后进行筛选。

怎么查看角色拥有的权限

我们可以通过以下方法来查看角色拥有的权限。

📋 使用 Elasticsearch API 查询角色权限
Elasticsearch 提供了专门的 API 来获取角色信息。

查看所有角色：使用 GET /_security/role 命令可以获取集群中所有角色的详细信息，包括每个角色的权限配置。

查看特定角色：使用 GET /_security/role/<role_name> 命令可以获取特定角色的权限配置。将 <role_name> 替换为你要查询的角色名称（例如 GET /_security/role/index_manager）。

这些命令会返回类似以下结构的 JSON 信息，清晰地展示了角色的权限：

{
  "index_manager" : {
    "cluster" : ["manage_index_templates", "monitor"],
    "indices" : [
      {
        "names" : ["*"],
        "privileges" : ["all"],
        "field_security" : {
          "grant" : ["*"]
        }
      }
    ],
    "applications" : [
      {
        "application" : "kibana-.kibana",
        "privileges" : ["all"],
        "resources" : ["*"]
      }
    ],
    "run_as" : [],
    "metadata" : {},
    "transient_metadata" : {"enabled" : true}
  }
}

返回结果关键字段说明：

cluster: 字符串数组，列出了该角色拥有的集群级别权限，如
manage_index_templates（管理索引模板）、monitor（监控集群）等。

indices: 对象数组，定义了该角色对一个或多个索引模式的权限。

names: 字符串数组，指定此权限适用的索引名称，支持通配符，如 “logstash-*”。

privileges: 字符串数组，指定对上述索引的操作权限，如
all（所有权限）、create_index（创建索引）、delete_index（删除索引）、write（写入文档）、read（读取文档）等。

field_security: （可选）对象，用于字段级权限控制，可以限制用户只能访问或禁止访问文档中的某些字段（grant
表示允许访问的字段，except 表示排除的字段）。

query: （可选）字符串，用于文档级权限控制，可以限制用户只能访问索引中满足特定查询条件的文档。

applications: 对象数组，配置了该角色对 Kibana 等应用程序的访问权限。

run_as: 字符串数组，允许该角色以其他用户的身份提交请求（模拟用户）。

metadata: 对象，存储与该角色相关的任意元信息。

如果有帮助到你，请点赞收藏