RBAC
Тема дорожной карты · Elasticsearch
Управление доступом на основе ролей (RBAC) в Elasticsearch — это модель авторизации, определяющая, какие действия аутентифицированные пользователи и сервисы могут выполнять с теми или иными ресурсами кластера. Роль RBAC в Elasticsearch — это именованный набор привилегий, охватывающий действия на уровне кластера (например, manage_index_templates, monitor), действия на уровне индекса (например, read, write, create_index) с привязкой к конкретным шаблонам имён индексов, а также разрешения на уровне приложений для Kibana. Роли создаются через PUT /_security/role/<role_name> и назначаются пользователям через PUT /_security/user/<username> с массивом roles. Elasticsearch поставляется с набором встроенных ролей: superuser, kibana_admin, read_only_monitor и другими, покрывающими типичные операционные потребности без необходимости создавать пользовательские роли. RBAC является фундаментом, на котором строятся более гранулярные функции безопасности — защита на уровне документов и защита на уровне полей — в модели безопасности Elastic Stack.
Как это работает
RBAC: built-in security (бесплатно с 7.x): аутентификация (native realm, LDAP, SAML, OIDC, Kerberos), TLS encryption (transport + HTTP — обязателен с 8.x по дефолту), RBAC (built-in + custom roles), Document/Field-level security (ограничивают, какие поля юзер может читать). API keys для service-to-service auth. Audit logs для compliance. Без security ES wide open — любой с network access читает/пишет.
Когда применять
Включайте security с первого дня — 8.x делает on-by-default, не выключайте. API keys для app-to-ES auth (не пароли). TLS на transport (inter-node) + HTTP — нетривиальный certificate setup но обязателен для prod. Field-level security для PII handling. Audit logs для удовлетворения compliance.
Типичные ошибки
Ловушки RBAC: ES в интернете без security (ransomware за день); elastic superuser везде (rotate + scoped API keys); HTTP-only внутри кластера (eavesdropping); нет мониторинга failed auth attempts.