Elasticsearch授權(quán)資源
當(dāng)您需要精細(xì)化地管理用戶權(quán)限時,可通過創(chuàng)建自定義權(quán)限策略實現(xiàn)。創(chuàng)建時,需要配置Action(操作)和Resource(資源)。本文提供了阿里云Elasticsearch通過訪問控制實現(xiàn)團隊或者部門成員鑒權(quán)、RAM用戶授權(quán)、RAM角色授權(quán)以及跨云服務(wù)授權(quán)的Action和Resource列表。
背景信息
默認(rèn)情況下,阿里云主賬號或者RAM用戶均能使用Elasticsearch控制臺或Elasticsearch API操作自己創(chuàng)建的Elasticsearch資源。在以下場景中,會涉及到操作授權(quán)問題:
剛創(chuàng)建的RAM用戶沒有權(quán)限操作阿里云主賬號的資源時。
從其他阿里云服務(wù)訪問Elasticsearch資源,或者Elasticsearch訪問其他阿里云服務(wù)時。
操作具有權(quán)限控制的Elasticsearch資源前,需要資源擁有者授權(quán)目標(biāo)資源和目標(biāo)API行為權(quán)限。
自定義策略
您可以通過RAM控制臺或者調(diào)用RAM API CreatePolicy創(chuàng)建一個自定義權(quán)限策略。在自定義策略中,根據(jù)JSON模板文件填寫策略內(nèi)容。其中的Action和Resource參數(shù)取值為本文授權(quán)資源列表中對應(yīng)的參數(shù)值。詳細(xì)信息,請參見創(chuàng)建自定義權(quán)限策略和權(quán)限策略基本元素。
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticsearch:[Elasticsearch RAM Action]",
"elasticsearch:ListInstance"
],
"Resource": [
"[Elasticsearch RAM Action Resource]",
"acs:elasticsearch:cn-hangzhou:133071096032****:instances/es-cn-2r42b7uyg003k****"
]
}
],
"Version": "1"
}授權(quán)資源列表
Elasticsearch
實例管理
Action
Resource
Action描述
elasticsearch:CreateInstance
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/*
創(chuàng)建實例。
elasticsearch:ListInstance
查看所有實例的詳細(xì)信息。
elasticsearch:DescribeInstance
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
查詢指定實例的詳細(xì)信息。
elasticsearch:EstimatedRestartTime
獲取重啟實例的預(yù)估時間。
elasticsearch:RestartInstance
重啟指定實例。
elasticsearch:UpdateInstanceChargeType
將按量付費實例轉(zhuǎn)換為包年包月實例。
elasticsearch:UpdateDescription
更新指定實例的名稱。
elasticsearch:DeleteInstance
釋放指定按量付費類型的阿里云Elasticsearch實例。
elasticsearch:CancelDeletion
恢復(fù)釋放后被凍結(jié)的Elasticsearch實例。
elasticsearch:RenewInstance
為包年包月實例續(xù)費。
elasticsearch:ActivateZones
恢復(fù)已下線的可用區(qū)。
elasticsearch:DeactivateZones
在有多個可用區(qū)的情況下,下線部分可用區(qū)。并將下線的可用區(qū)中的節(jié)點遷移到其他可用區(qū)。
elasticsearch:UpdateReadWritePolicy
開啟或關(guān)閉實例的寫入高可用特性。
elasticsearch:InterruptElasticsearchTask
中斷變更中的實例。
elasticsearch:ResumeElasticsearchTask
恢復(fù)中斷變更的實例。
elasticsearch:DescribeElasticsearchHealth
獲取指定實例的健康情況。
elasticsearch:GetElastictask
獲取集群的彈性擴縮容規(guī)則。
elasticsearch:ModifyElastictask
更新實例的彈性擴縮容規(guī)則。
elasticsearch:ListInstanceIndices
獲取實例的索引列表。
elasticsearch:MigrateToOtherZone
遷移對應(yīng)可用區(qū)下的節(jié)點到目標(biāo)可用區(qū)。
elasticsearch:MoveResourceGroup
遷移實例到指定資源組。
elasticsearch:ModifyInstanceMaintainTime
更改并開啟實例的可維護時間。
elasticsearch:ListShardRecoveries
查看正在進(jìn)行和已完成的分片恢復(fù)的數(shù)據(jù)進(jìn)度列表。
標(biāo)簽管理
Action
Resource
Action描述
elasticsearch:ListTags
acs:elasticsearch:<yourRegionId>:<yourAccountId>:tags/<yourInstanceId>
查詢所有可見的用戶標(biāo)簽。
elasticsearch:CreateTags
創(chuàng)建或更新標(biāo)簽。
elasticsearch:RemoveTags
刪除標(biāo)簽。
elasticsearch:ListTagResources
acs:elasticsearch:<yourRegionId>:<yourAccountId>:tags/*
acs:elasticsearch:<yourRegionId>:<yourAccountId>:tags/<yourInstanceId>
查詢可見資源標(biāo)簽關(guān)系。
數(shù)據(jù)遷移
Action
Resource
Action描述
elasticsearch:ListDataTasks
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
查看數(shù)據(jù)遷移任務(wù)信息。
elasticsearch:CancelTask
取消數(shù)據(jù)遷移任務(wù)。
elasticsearch:CreateDataTasks
創(chuàng)建索引遷移任務(wù),將所選實例中的數(shù)據(jù)遷移到當(dāng)前實例。
elasticsearch:DeleteDataTask
刪除索引遷移任務(wù)。
elasticsearch:GetClusterDataInformation
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/*
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
獲取實例的數(shù)據(jù)信息。
實例升降配
Action
Resource
Action描述
elasticsearch:UpgradeEngineVersion
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
升級實例版本或內(nèi)核補丁版本。
elasticsearch:UpdateInstance
變更實例配置。
elasticsearch:DowngradeInstance
縮容前,校驗是否可以遷移指定實例中某些節(jié)點上的數(shù)據(jù)。
縮容前,執(zhí)行數(shù)據(jù)遷移任務(wù)。
校驗指定實例中的某些節(jié)點是否可以縮容。
執(zhí)行實例節(jié)點縮容操作。
集群配置
Action
Resource
Action描述
elasticsearch:UpdateInstanceSettings
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
更新指定實例的YML參數(shù)配置。
elasticsearch:UpdateHotIkDicts
熱更新實例的IK分詞插件,包括IK主分詞詞庫和IK停用詞詞庫。
elasticsearch:UpdateSynonymsDicts
更新實例的同義詞詞典。
elasticsearch:UpdateDict
冷更新實例的IK分詞插件,包括IK主分詞詞庫和IK停用詞詞庫。
elasticsearch:UpdateAliwsDict
更新AliNLP分詞插件(analysis-aliws)的詞典文件。
elasticsearch:ListDictInformation
在添加用戶OSS存儲的詞典文件時,獲取和校驗用戶OSS詞典文件的詳情。
elasticsearch:UpdateAdvancedSetting
更改指定實例的垃圾回收器配置。
elasticsearch:DescribeTemplates
獲取實例的場景化配置模板。
elasticsearch:UpdateExtendConfig
修改實例的場景化配置模板。
elasticsearch:UpdateTemplate
修改實例的場景化模板配置內(nèi)容。
elasticsearch:RecommendTemplates
獲取推薦的場景化模板配置。
elasticsearch:ListDicts
查看指定類型的詞典詳情以及簽名生成的公網(wǎng)可下載鏈接。
索引管理
Action
Resource
Action描述
elasticsearch:CreateIndexTemplate
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
創(chuàng)建索引模板。
elasticsearch:DeleteIndexTemplate
刪除索引模板。
elasticsearch:UpdateIndexTemplate
更新索引模板的組件化設(shè)置。
elasticsearch:DescribeIndexTemplate
獲取索引模板的組件化設(shè)置。
elasticsearch:ListIndexTemplates
查看索引模板列表。
elasticsearch:DescribeILMPolicy
查詢指定索引生命周期詳情。
elasticsearch:ListILMPolicies
查看已有的索引生命周期策略列表。
elasticsearch:CreateILMPolicy
創(chuàng)建索引生命周期策略。
elasticsearch:DeleteILMPolicy
刪除指定的生命周期策略定義。
elasticsearch:UpdateILMPolicy
修改索引生命周期策略。
elasticsearch:CreateDataStream
創(chuàng)建數(shù)據(jù)流。
elasticsearch:DeleteDataStream
刪除數(shù)據(jù)流。
elasticsearch:RolloverDataStream
滾動更新數(shù)據(jù)流下的匹配索引。
elasticsearch:ListDataStreams
查看數(shù)據(jù)流列表。
elasticsearch:CloseManagedIndex
關(guān)閉Indexing Service實例中某個索引的云端托管功能。
插件管理
Action
Resource
Action描述
elasticsearch:ListPlugins
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
查看指定實例的插件列表。
elasticsearch:InstallSystemPlugin
安裝系統(tǒng)預(yù)置插件。
elasticsearch:UninstallPlugin
卸載已安裝的預(yù)置插件。
elasticsearch:InstallUserPlugins
安裝用戶自定義的已經(jīng)上傳至Elasticsearch控制臺的插件。
集群監(jiān)控和日志查詢
Action
Resource
Action描述
elasticsearch:GetEmonMonitorData
acs:elasticsearch:<yourRegionId>:<yourAccountId>:emonProjects/<yourProjectId>
獲取Grafana指標(biāo)監(jiān)控數(shù)據(jù)。
elasticsearch:GetEmonGrafanaDashboards
獲取Grafana大盤列表。
elasticsearch:GetEmonGrafanaAlerts
獲取Grafana報警列表。
elasticsearch:PostEmonTryAlarmRule
acs:elasticsearch:<yourRegionId>:<yourAccountId>:emonProjects/*
發(fā)送測試的報警消息。
elasticsearch:GetEmonAlarmGroupList
獲取報警組列表。
elasticsearch:ListSearchLogs
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
查看實例日志。
安全配置
Action
Resource
Action描述
elasticsearch:TriggerNetwork
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
開啟或關(guān)閉Elasticsearch或Kibana實例的公網(wǎng)或私網(wǎng)訪問。
elasticsearch:UpdatePrivateNetworkWhiteIps
更新指定實例的VPC私網(wǎng)訪問白名單。
elasticsearch:UpdatePublicWhiteIps
更新指定實例的公網(wǎng)地址訪問白名單。
elasticsearch:UpdatePublicNetwork
開啟或關(guān)閉指定實例的公網(wǎng)地址。
elasticsearch:UpdateWhiteIps
更新實例的VPC私網(wǎng)訪問白名單。
elasticsearch:ModifyWhiteIps
更新指定實例的訪問白名單。
elasticsearch:UpdateAdminPassword
更新指定實例的elastic賬號的密碼。
elasticsearch:OpenHttps
開啟HTTPS協(xié)議。
elasticsearch:CloseHttps
關(guān)閉HTTPS協(xié)議。
elasticsearch:AddConnectableCluster
配置實例網(wǎng)絡(luò)互通。
elasticsearch:DeleteConnectedCluster
移除互通實例。
elasticsearch:DescribeConnectableClusters
獲取能夠與當(dāng)前實例進(jìn)行網(wǎng)絡(luò)互通的實例列表。不包括已經(jīng)打通的實例。
elasticsearch:ListConnectedClusters
獲取已經(jīng)與當(dāng)前實例進(jìn)行了網(wǎng)絡(luò)互通的實例列表。
elasticsearch:DeleteVpcEndpoint
刪除服務(wù)VPC下的終端節(jié)點。
elasticsearch:ListVpcEndpoints
查看服務(wù)VPC下的終端節(jié)點狀態(tài)。
數(shù)據(jù)備份
Action
Resource
Action描述
elasticsearch:CreateSnapshot
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
手動對實例進(jìn)行快照備份。
elasticsearch:AddSnapshotRepo
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/*
在設(shè)置跨集群OSS倉庫時,創(chuàng)建引用倉庫。
elasticsearch:DeleteSnapshotRepo
刪除一個跨集群OSS引用倉庫。
elasticsearch:ListSnapshotReposByInstanceId
獲取當(dāng)前實例的跨集群OSS倉庫設(shè)置列表。
elasticsearch:ListAlternativeSnapshotRepos
acs:elasticsearch:<yourRegionId>:<yourAccountId>:snapshotrepository/*
獲取當(dāng)前實例可添加的OSS引用倉庫。
elasticsearch:DescribeSnapshotSetting
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
獲取指定實例的數(shù)據(jù)備份配置。
elasticsearch:UpdateSnapshotSetting
更新指定實例的數(shù)據(jù)備份配置。
智能運維
Action
Resource
Action描述
elasticsearch:OpenDiagnosis
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/*
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
開啟智能運維。
elasticsearch:CloseDiagnosis
關(guān)閉智能運維。
elasticsearch:UpdateDiagnosisSettings
更新智能運維場景設(shè)置。
elasticsearch:DiagnoseInstance
即刻診斷實例。
elasticsearch:ListDiagnoseReport
查看智能運維的歷史報告。
elasticsearch:ListDiagnoseReportIds
查看智能運維歷史報告的ID。
elasticsearch:ListDiagnoseIndices
查看指定實例智能運維模塊中,健康診斷的診斷索引。
elasticsearch:DescribeDiagnoseReport
獲取智能運維的歷史報告。
elasticsearch:DescribeDiagnosisSettings
獲取智能運維的場景設(shè)置。
Kibana
Action | Resource | Action描述 |
elasticsearch:DescribeKibanaSettings | acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId> | 查看Kibana配置。 |
elasticsearch:UpdateKibanaSettings | 更新Kibana配置。 | |
elasticsearch:ListKibanaPlugins | 查看Kibana插件。 | |
elasticsearch:InstallKibanaSystemPlugin | 安裝Kibana插件。 | |
elasticsearch:UninstallKibanaPlugin | 卸載Kibana插件。 | |
elasticsearch:UpdateKibanaWhiteIps | 修改Kibana白名單。 |
Logstash
實例管理
Action
Resource
Action描述
elasticsearch:CreateLogstash
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/*
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
創(chuàng)建一個Logstash實例。
elasticsearch:ListLogstash
查看所有或指定Logstash實例的詳細(xì)信息。
elasticsearch:DescribeLogstash
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
查詢指定Logstash實例的詳細(xì)信息。
elasticsearch:UpdateLogstash
修改指定Logstash實例的部分信息,例如節(jié)點數(shù)、配額、名稱、硬盤大小等。
elasticsearch:RenewLogstash
為Logstash實例續(xù)費。
elasticsearch:RestartLogstash
重啟指定的Logstash實例。
elasticsearch:EstimatedLogstashRestartTime
獲取Logstash實例重啟的預(yù)估時間。
elasticsearch:UpdateLogstashDescription
修改指定Logstash實例的名稱。
elasticsearch:UpdateLogstashChargeType
將按量付費的Logstash實例轉(zhuǎn)換為包年包月實例。
elasticsearch:DeleteLogstash
釋放指定按量付費的Logstash實例。
elasticsearch:CancelLogstashDeletion
恢復(fù)釋放后被凍結(jié)的Logstash實例。
集群配置
Action
Resource
Action描述
elasticsearch:UpdateLogstashSettings
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
更新指定Logstash實例的配置。
elasticsearch:ListExtendfiles
查看指定Logstash實例的擴展文件配置。
elasticsearch:UpdateExtendfiles
更新指定Logstash實例的擴展文件配置。
插件管理
Action
Resource
Action描述
elasticsearch:ListPlugin
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
查看插件列表。
elasticsearch:InstallSystemPlugin
安裝系統(tǒng)預(yù)置插件。
elasticsearch:UninstallSystemPlugin
卸載系統(tǒng)預(yù)置插件。
集群監(jiān)控和日志查詢
Action
Resource
Action描述
elasticsearch:ListAvailableEsInstanceIds
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
在設(shè)置Logstash實例的X-Pack監(jiān)控時,查看可用的Elasticsearch實例列表(具備X-Pack監(jiān)控能力)。
elasticsearch:ValidateConnection
在Logstash實例的監(jiān)控報警配置中,驗證提供X-Pack監(jiān)控的Elasticsearch實例的聯(lián)通性。
elasticsearch:UpdateXpackMonitorConfig
更新Logstash實例的X-Pack監(jiān)控報警配置。
elasticsearch:DescribeXpackMonitorConfig
獲取Logstash實例的X-Pack監(jiān)控配置。
elasticsearch:ListLogstashLog
查看Logstash實例的日志。
變更任務(wù)管理
Action
Resource
Action描述
elasticsearch:InterruptLogstashTask
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
中斷實例變更任務(wù)。
elasticsearch:ResumeLogstashTask
恢復(fù)實例的變更中斷任務(wù)。
管道管理
Action
Resource
Action描述
elasticsearch:CreatePipelines
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
創(chuàng)建管道。
elasticsearch:ListPipeline
查看管道列表。
elasticsearch:DescribePipeline
查看管道配置。
elasticsearch:UpdatePipelines
更新管道配置。
elasticsearch:RunPipelines
立即部署管道。
elasticsearch:StopPipelines
停止運行管道。
elasticsearch:UpdatePipelineManagementConfig
更新管道管理方式。
elasticsearch:DescribePipelineManagementConfig
獲取管道管理配置。
elasticsearch:ListPipelineIds
設(shè)置Kibana管道管理時,測試Logstash與Kibana連通性,并獲取目標(biāo)Kibana上創(chuàng)建的管道ID列表。
elasticsearch:DeletePipelines
刪除管道。
Beats
Action | Resource | Action描述 |
elasticsearch:CreateCollector | acs:elasticsearch:<yourRegionId>:<yourAccountId>:collectors/<yourCollectorId> | 創(chuàng)建采集器。 |
elasticsearch:DescribeCollector | 獲取采集器的詳細(xì)信息。 | |
elasticsearch:ReinstallCollector | 重試安裝在創(chuàng)建時沒有安裝成功的采集器。 | |
elasticsearch:ListCollectors | acs:elasticsearch:<yourRegionId>:<yourAccountId>:collectors/* | 獲取采集器列表信息。 |
elasticsearch:ListDefaultCollectorConfigurations | 獲取采集器的默認(rèn)配置文件。 | |
elasticsearch:UpdateCollectorName | acs:elasticsearch:<yourRegionId>:<yourAccountId>:collectors/<yourCollectorId> | 修改采集器名稱。 |
elasticsearch:UpdateCollector | 更新采集器信息。 | |
elasticsearch:StartCollector | 啟動采集器。 | |
elasticsearch:RestartCollector | 重啟采集器。 | |
elasticsearch:StopCollector | 停止運行中的采集器。 | |
elasticsearch:DeleteCollector | 刪除采集器。 | |
elasticsearch:ListEcsInstances | 獲取ECS機器列表。 | |
elasticsearch:ModifyDeployMachine | 更新采集器安裝的ECS機器。 | |
elasticsearch:ListNodes | 查看安裝采集器的ECS機器的狀態(tài)。 | |
elasticsearch:ListAckClusters | acs:elasticsearch:<yourRegionId>:<yourAccountId>:ackClusters/* | 查看容器服務(wù)Kubernetes版ACK集群列表。 |
elasticsearch:ListAckNamespaces | acs:elasticsearch:<yourRegionId>:<yourAccountId>:ackClusters/<yourClusterId> | 查看指定容器服務(wù)Kubernetes版ACK集群的所有命名空間。 |
elasticsearch:DescribeAckOperator | 查看指定容器服務(wù)Kubernetes版ACK集群上安裝的Elasticsearch Operator信息。 | |
elasticsearch:InstallAckOperator | 在指定容器服務(wù)Kubernetes版ACK集群上安裝Elasticsearch Operator。 |
訪問控制
Action | Resource | Action描述 |
elasticsearch:InitializeOperationRole | acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/* | 創(chuàng)建服務(wù)關(guān)聯(lián)角色。 |
底層云監(jiān)控
Action | Resource | Action描述 |
cms:ListProductOfActiveAlert | * | 獲取用戶已開通云監(jiān)控服務(wù)的產(chǎn)品。 |
cms:ListAlarm | 查詢指定或全部報警規(guī)則設(shè)置。 | |
cms:QueryMetricList | 查詢一段時間內(nèi)指定實例的監(jiān)控數(shù)據(jù)。 |
購買頁專有網(wǎng)絡(luò)和虛擬交換機
Action | Resource | Action描述 |
elasticsearch:DescribeVpcs | acs:elasticsearch:<yourRegionId>:<yourAccountId>:vpc/* | 獲取VPC列表。 |
elasticsearch:DescribeVswitches | acs:elasticsearch:<yourRegionId>:<yourAccountId>:vswitch/* | 獲取vSwitch列表。 |
參數(shù)說明
本文Resource中包含的參數(shù)說明如下,請在使用時替換為實際值:
<yourRegionId>:實例所在地域的ID,*表示所有地域下的資源。各地域?qū)?yīng)的地域ID如下。
地域
地域ID
中國
華東 2(上海)
cn-shanghai
華南 1(深圳)
cn-shenzhen
華北1(青島)
cn-qingdao
華北3(張家口)
cn-zhangjiakou
華北2(北京)
cn-beijing
華東 1(杭州)
cn-hangzhou
中國(香港)
cn-hongkong
亞太
新加坡
ap-southeast-1
馬來西亞(吉隆坡)
ap-southeast-3
日本(東京)
ap-northeast-1
印度尼西亞(雅加達(dá))
ap-southeast-5
歐洲與美洲
美國(弗吉尼亞)
us-east-1
美國(硅谷)
us-west-1
德國(法蘭克福)
eu-central-1
英國(倫敦)
eu-west-1
<yourAccountId>:阿里云賬號ID,*表示所有賬號下的資源。
<yourInstanceId>:實例ID,*表示所有實例資源。
<yourProjectId>:高級監(jiān)控報警項目ID。
<yourCollectorId>:Beats采集器ID。
<yourClusterId>:安裝Beats采集器的容器服務(wù)Kubernetes版ACK集群ID。