Elasticsearch 安全功能現免費提供（從 6.8.0 和 7.1.0 版本開始）

一、安裝文檔：https://www.elastic.co/cn/blog/security-for-elasticsearch-is-now-free

安裝完成效果圖

 

二、用戶介紹(官方文檔：https://www.elastic.co/guide/en/elastic-stack-overview/7.3/built-in-users.html)

Elastic Stack安全功能提供內置的用戶憑證，以幫助您啓動和運行。這些用戶具備一組固定的特權，只有在設置了密碼後才能進行身份驗證。該elastic用戶能夠用來設置全部內置的用戶密碼。

elastic
內置的超級用戶。請參閱內置角色。

kibana
用戶Kibana用於鏈接Elasticsearch並與之通訊。

logstash_system
Logstash用戶在將監控信息存儲在Elasticsearch中時使用。

beats_system
Beats在Elasticsearch中存儲監視信息時使用的用戶。

apm_system
APM服務器在Elasticsearch中存儲監視信息時使用的用戶。

remote_monitoring_user
Metricbeat用戶在Elasticsearch中收集和存儲監視信息時使用。它具備remote_monitoring_agent和 remote_monitoring_collector內置角色。

三、內置角色介紹

Elastic Stack安全功能將默認角色應用於全部用戶，包括 匿名用戶。默認角色使用戶能夠訪問身份驗證端點，更改本身的密碼並獲取有關本身的信息。
您還能夠顯式分配給用戶一組內置角色。這些角色具備一組固定的特權，沒法更新。

apm_system
授予APM系統用戶將系統級數據（例如監視）發送到Elasticsearch所需的訪問權限。

apm_user
授予對於APM用戶（如所需的權限read和 view_index_metadata特權的apm-*和.ml-anomalies*指數）。

beats_admin
授予對.management-beats索引的訪問權限，該索引包含Beats的配置信息。

beats_system
授予Beats系統用戶將系統級數據（例如監視）發送到Elasticsearch所需的訪問權限。
注意:   不該將此角色分配給用戶，由於授予的權限可能會在版本之間發生變化。
        該角色不提供對節拍索引的訪問，而且不適合將節拍輸出寫入Elasticsearch。

data_frame_transforms_admin
授予manage_data_frame_transforms羣集特權，使您能夠管理轉換。該角色還包括針對機器學習功能的全部 Kibana特權。

data_frame_transforms_user
授予monitor_data_fram_transforms羣集特權，使您可使用轉換。該角色還包括針對機器學習功能的全部 Kibana特權。

ingest_admin
授予訪問權限以管理全部索引模板和全部接收管道配置。
注意:這個角色也沒有提供用於建立指數的能力; 這些特權必須在單獨的角色中定義。

kibana_dashboard_only_user
授予對Kibana儀表板的訪問權限和對Kibana的只讀權限。該角色無權使用Kibana中的編輯工具。有關更多信息，請參閱 僅Kibana儀表板模式。

kibana_system
授予Kibana系統用戶讀取和寫入Kibana索引，管理索引模板和令牌以及檢查Elasticsearch集羣可用性所必需的訪問權限。該角色授予對.monitoring-*索引的讀取訪問權限以及對索引的讀寫訪問權限.reporting-*。有關更多信息，請參閱在Kibana中配置安全性。
注意:不該將此角色分配給用戶，由於授予的權限可能會在版本之間發生變化。

kibana_user
授予訪問Kibana中全部功能的權限。有關Kibana受權的更多信息，請參見Kibana受權。

logstash_admin
授予訪問.logstash*索引以管理配置的權限。

logstash_system
授予Logstash系統用戶將系統級數據（例如監視）發送到Elasticsearch所需的訪問權限。有關更多信息，請參見 在Logstash中配置安全性。
注意:不該將此角色分配給用戶，由於授予的權限可能會在版本之間發生變化。
該角色不提供對logstash索引的訪問，所以不適合在Logstash管道內使用。

machine_learning_admin
資助manage_ml集羣權限，讀取訪問.ml-anomalies*， .ml-notifications*，.ml-state*，.ml-meta*指數和寫入訪問 .ml-annotations*索引。該角色還包括針對機器學習功能的全部 Kibana特權。

machine_learning_user
授予查看機器學習配置，狀態和處理結果所需的最低特權。該角色授予monitor_ml集羣特權，對.ml-notifications和.ml-anomalies*索引的讀取訪問權限（存儲機器學習結果）以及對.ml-annotations*索引的寫入訪問權限。該角色還包括針對機器學習功能的全部Kibana特權。

monitoring_user
授予除使用Kibana所需的X-Pack監視用戶所需的最低特權。該角色授予對監視索引的訪問權限，並授予讀取基本羣集信息所必需的特權。該角色還包括彈性堆棧監視功能的全部Kibana特權。還應該爲監視用戶分配kibana_user角色。

remote_monitoring_agent
授予將數據寫入監視索引（.monitoring-*）所需的最低特權。該角色還具備建立Metricbeat索引（metricbeat-*）並將數據寫入其中所需的特權。

remote_monitoring_collector
授予收集彈性堆棧的監視數據所需的最低特權。

reporting_user
授予X-Pack報告用戶所需的特定特權，而不是使用Kibana所需的特權。該角色授予訪問報告索引的權限；每一個用戶只能訪問本身的報告。還應爲報告用戶分配一個kibana_user角色和一個角色，以授予他們訪問將用於生成報告的數據的權限。

snapshot_user
授予必要的特權，以建立全部索引的快照並查看其元數據。該角色使用戶能夠查看現有快照存儲庫的配置和快照詳細信息。它不授予刪除或添加存儲庫或還原快照的權限。它還不容許更改索引設置或讀取或更新索引數據。

superuser
授予對羣集的徹底訪問權限，包括全部索引和數據。具備superuser角色的用戶還能夠管理用戶和角色，並 模擬系統中的任何其餘用戶。因爲此角色的容許性質，在將其分配給用戶時要格外當心。

transport_client
授予經過Java Transport Client訪問集羣所需的特權。Java Transport Client使用Node Liveness API和Cluster State API（在啓用嗅探功能時）獲取有關集羣中節點的信息。若是用戶使用傳輸客戶端，請爲其分配此角色。

注意
有效使用傳輸客戶端意味着授予用戶訪問羣集狀態的權限。這意味着用戶能夠查看全部索引，索引模板，映射，節點以及基本上與集羣有關的全部內容的元數據。可是，此角色未授予查看全部索引中的數據的權限。

watcher_admin
授予對.watches索引的讀取訪問權限，對監視歷史記錄和觸發的監視索引的讀取訪問權限，並容許執行全部監視程序操做。

watcher_user
授予對.watches索引，獲取監視操做和監視者統計信息的讀取權限。

 

 

 四、演示（建立一個能查看全部索引日誌的只讀權限，包括儀盤，只提供查看功能）

（1）建立角色

 

 

（2）建立用戶

(3)登錄查看(ok完成)