索引管理安全

将安全插件与索引管理结合使用，可以将非管理员用户限制为某些操作。例如，你可能希望设置安全策略，使一组用户只能读取 ISM 策略，而其他用户可以创建、删除或更改策略。

所有索引管理数据都受到系统索引的保护，只有超级管理员或具有传输层安全（TLS）证书的管理员才能访问系统索引。

基本权限

安全插件附带一个角色，提供对索引管理的完全访问权限：index_management_full_access。

启用安全功能后，用户不仅需要正确的索引管理权限，还需要对涉及的索引执行操作的权限。例如，如果用户希望使用 REST API 将执行汇总作业的策略附加到名为 system-logs 的索引，他们需要附加策略和执行汇总作业的权限，以及访问 system-logs 的权限。

最后，除了创建策略、获取策略和删除策略之外，用户还需要 indices:admin/opensearch/ism/managedindex 权限来执行 ISM API。

（高级）按后端角色限制访问

你可以使用后端角色配置对索引管理策略和操作的细粒度访问。例如，组织内不同部门的用户可能会根据他们被分配的角色和权限查看不同的策略。

首先，确保你的用户具有适当的 后端角色。后端角色通常来自 LDAP 服务器 或 SAML 提供商。但是，如果你使用内部用户数据库，你可以使用 REST API 手动添加它们。

使用 REST API 启用以下设置：

PUT _cluster/settings
{
  "transient": {
    "plugins.index_management.filter_by_backend_roles": "true"
  }
}

启用安全功能后，只有至少共享一个后端角色的用户才能看到和执行与其角色相关的策略和操作。

例如，考虑一个场景，有三个用户：John 和 Jill，他们具有后端角色 helpdesk_staff，以及 Jane，她具有后端角色 phone_operator。John 希望创建一个对名为 airline_data 的索引执行汇总作业的策略，因此 John 需要一个具有访问该索引、创建相关策略和执行相关操作权限的后端角色，Jill 将能够访问相同的索引、策略和作业。然而，Jane 无法访问或编辑这些资源或操作。