云搜索服务

简介/价格/文档

天翼云云搜索服务使用教程 - ES自定义策略

文档简介：

本章节主要介绍云搜索服务自定义策略。如果系统预置的ES权限，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考云搜索服务API参考中的权限策略和授权项。

*产品来源：中国电信天翼云。免费试用咨询热线：400-826-7010，为您提供专业的售前咨询，让您快速了解云产品，助您轻松上云！微信咨询

免费试用、价格特惠

文档详情

如果系统预置的ES权限，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考云搜索服务API参考中的权限策略和授权项。

目前支持以下两种方式创建自定义策略：

可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。
JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。
具体创建步骤请参见：IAM用户指南中的创建自定义策略。本章为您介绍常用的ES自定义策略样例。

ES系统策略样例

示例1：授权用户ES FullAccess权限，即给用户配置ES的所有权限。

开启ES FullAccess权限，需要依赖OBS和IAM权限，除了配ES FullAccess还要加上IAM ReadOnlyAccess和OBS的所有权限。如果用户需要查看集群监控信息，则需要依赖CES的只读权限。如果用户需要使用终端节服务，除了配置VPCEndpoint Administrator权限，还需要同时配置VPC Administrator、Server Administrator以及DNS Administrator权限。如果用户需要使用标签功能，需要配置TMS Administrator权限。

说明

如果是子账户，需要同时设置GetBucketStoragePolicy、GetBucketLocation、ListBucket权限，才能看到OBS桶。

1.授权用户ES FullAccess权限。

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Action": [ 
                "ES:*:*", 
                "vpc:securityGroups:get", 
                "vpc:securityGroups:create", 
                "vpc:securityGroups:delete", 
                "vpc:securityGroupRules:get", 
                "vpc:securityGroupRules:create", 
                "vpc:securityGroupRules:delete", 
                "vpc:vpcs:list", 
                "vpc:privateIps:list", 
                "vpc:ports:get", 
                "vpc:ports:create", 
                "vpc:ports:update", 
                "vpc:ports:delete", 
                "vpc:quotas:list", 
                "vpc:subnets:get", 
                "ecs:cloudServerFlavors:get", 
                "ecs:serverInterfaces:use", 
                "ecs:cloudServers:addNics", 
                "ecs:quotas:get", 
                "evs:types:get", 
                "evs:quotas:get"       
            ], 
            "Effect": "Allow" 
        } 
    ] 
}复制

2.授权用户IAM ReadOnlyAccess自定义策略。

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Action": [ 
                "iam:*:get*", 
                "iam:*:list*", 
                "iam:*:check*" 
            ], 
            "Effect": "Allow" 
        } 
    ] 
}复制

3.授权用户OBS的所有权限。

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Action": [ 
                "OBS:*:*" 
            ], 
            "Effect": "Allow" 
        } 
    ] 
}复制

4.（可选）授权用户查看集群监控信息权限。

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Action": [ 
                "ces:*:get*", 
                "ces:*:list*" 
            ], 
            "Effect": "Allow" 
        } 
    ] 
}复制

5.（可选）授权用户VPCEndpoint Administrator权限。

{ 
    "Version": "1.0", 
    "Statement": [ 
        { 
            "Action": [ 
                "VPCEP:endpoint_services:*" 
            ], 
            "Effect": "Allow" 
        } 
    ], 
    "Depends": [ 
        { 
            "catalog": "BASE", 
            "display_name": "Server Administrator" 
        }, 
        { 
            "catalog": "VPC", 
            "display_name": "VPC Administrator" 
        }, 
        { 
            "catalog": "DNS", 
            "display_name": "DNS Administrator" 
        } 
    ] 
}复制

6.（可选）授权VPC Administrator权限。

{ 
    "Version": "1.0", 
    "Statement": [ 
        { 
            "Action": [ 
                "vpc:vpcs:*", 
                "vpc:routers:*", 
                "vpc:networks:*", 
                "vpc:subnets:*", 
                "vpc:ports:*", 
                "vpc:privateIps:*", 
                "vpc:peerings:*", 
                "vpc:routes:*", 
                "vpc:lbaas:*", 
                "vpc:vpns:*", 
                "ecs:*:get", 
                "ecs:*:list", 
                "elb:*:get", 
                "elb:*:list" 
            ], 
            "Effect": "Allow" 
        } 
    ] 
}复制

7.（可选）授权Server Administrator权限。

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Action": [ 
                "ecs:*:*", 
                "evs:*:get", 
                "evs:*:list", 
                "evs:volumes:create", 
                "evs:volumes:delete", 
                "evs:volumes:attach", 
                "evs:volumes:detach", 
                "evs:volumes:manage", 
                "evs:volumes:update", 
                "evs:volumes:uploadImage", 
                "evs:snapshots:create", 
                "vpc:*:get", 
                "vpc:*:list", 
                "vpc:networks:create", 
                "vpc:networks:update", 
                "vpc:subnets:update", 
                "vpc:subnets:create", 
                "vpc:routers:get", 
                "vpc:routers:update", 
                "vpc:ports:*", 
                "vpc:privateIps:*", 
                "vpc:securityGroups:*", 
                "vpc:securityGroupRules:*", 
                "vpc:floatingIps:*", 
                "vpc:publicIps:*", 
                "vpc:bandwidths:*", 
                "vpc:firewalls:*", 
                "ims:images:create", 
                "ims:images:delete", 
                "ims:images:get", 
                "ims:images:list", 
                "ims:images:update", 
                "ims:images:upload" 
            ], 
            "Effect": "Allow" 
        } 
    ], 
    "Depends": [ 
        { 
            "catalog": "BASE", 
            "display_name": "Tenant Guest" 
        }, 
        { 
            "catalog": "BASE", 
            "display_name": "BSS Administrator" 
        }, 
        { 
            "catalog": "BASE", 
            "display_name": "VPC Administrator" 
        }, 
        { 
            "catalog": "BASE", 
            "display_name": "IMS Administrator" 
        } 
    ] 
}复制

8.（可选）授权DNS Administrator权限。

{ 
    "Version": "1.0", 
    "Statement": [ 
        { 
            "Action": [ 
                "DNS:Zone:*", 
                "DNS:RecordSet:*", 
                "DNS:PTRRecord:*" 
            ], 
            "Effect": "Allow" 
        } 
    ], 
    "Depends": [ 
        { 
            "catalog": "BASE", 
            "display_name": "Tenant Guest" 
        }, 
        { 
            "catalog": "VPC", 
            "display_name": "VPC Administrator" 
        } 
    ] 
}复制

9.（可选）授权TMS Administrator权限。

{ 
    "Version": "1.0", 
    "Statement": [ 
        { 
            "Action": [ 
                "TMS:predefine_tag:*", 
                "TMS:resource_tag:*" 
            ], 
            "Effect": "Allow" 
        } 
    ], 
    "Depends": [ 
        { 
            "catalog": "BASE", 
            "display_name": "Tenant Guest" 
        }, 
        { 
            "catalog": "BASE", 
            "display_name": "Server Administrator" 
        }, 
        { 
            "catalog": "IMS", 
            "display_name": "IMS Administrator" 
        }, 
        { 
            "catalog": "Auto Scaling", 
            "display_name": "AutoScaling Administrator" 
        }, 
        { 
            "catalog": "VPC", 
            "display_name": "VPC Administrator" 
        }, 
        { 
            "catalog": "VBS", 
            "display_name": "VBS Administrator" 
        }, 
        { 
            "catalog": "OBS", 
            "display_name": "Tenant Administrator" 
        }, 
        { 
            "catalog": "OBS", 
            "display_name": "Tenant Guest" 
        } 
    ] 
}复制

说明

如果用户账号开通了企业项目：

当该账号配置ES FullAccess权限时，即使给单个企业项目只配了ES ReadOnlyAccess权限，但所有企业项目都拥有ES FullAccess权限。
如果给单个企业项目开通了ES FullAccess权限，则该企业项目下的所有子用户都可以拥有该权限。如：企业项目default配了ES FullAccess权限，那么子用户可以读到default企业项目下的集群，且进行读写操作。

示例2：授权用户ES ReadOnlyAccess权限，即给用户配置ES的只读权限。如果用户需要查看集群监控信息，则需要依赖CES的只读权限。

1.授权用户ES ReadOnlyAccess权限。

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Action": [ 
                "ES:*:get*", 
                "ES:*:list*", 
                "vpc:securityGroups:get", 
                "vpc:securityGroupRules:get", 
                "vpc:vpcs:list", 
                "vpc:privateIps:list", 
                "vpc:ports:get", 
                "vpc:quotas:list", 
                "vpc:subnets:get", 
                "ecs:cloudServerFlavors:get", 
                "ecs:quotas:get", 
                "evs:types:get", 
                "evs:quotas:get"     
            ], 
            "Effect": "Allow" 
        } 
    ] 
}复制

2.（可选）授权用户查看集群监控信息权限。

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Action": [ 
                "ces:*:get*", 
                "ces:*:list*" 
            ], 
            "Effect": "Allow" 
        } 
    ] 
}复制

说明

如果用户账号开通了企业项目：

在统一认证服务中给该账号开通了ES ReadOnlyAccess权限，但是给某个企业项目配置了ES FullAccess权限，那么子用户可以读到所有企业项目下的集群，但是只对开通ES FullAccess权限下的集群进行写操作。例如，给企业项目default配置了ES FullAccess权限，那么子用户可以读到所有企业项目下的集群，但是只对default下的集群进行写操作。
在统一认证服务中给该账号开通了ES ReadOnlyAccess权限，但是没有给单个企业项目授权，则子账户只能读取该项目下的集群，不能进行写操作。例如，给企业项目default配了ES ReadOnlyAccess，那么子用户可以读到default企业项目下的集群，不可进行写操作。

ES自定义策略样例

示例1：授权用户创建集群。

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Action": [ 
                "ES:cluster:create", 
                "vpc:securityGroups:get", 
                "vpc:securityGroups:create", 
                "vpc:securityGroups:delete", 
                "vpc:securityGroupRules:get", 
                "vpc:securityGroupRules:create", 
                "vpc:securityGroupRules:delete", 
                "vpc:vpcs:list", 
                "vpc:privateIps:list", 
                "vpc:ports:get", 
                "vpc:ports:create", 
                "vpc:ports:update", 
                "vpc:ports:delete", 
                "vpc:quotas:list", 
                "vpc:subnets:get", 
                "ecs:cloudServerFlavors:get", 
                "ecs:serverInterfaces:use", 
                "ecs:cloudServers:addNics", 
                "ecs:quotas:get", 
                "evs:types:get", 
                "evs:quotas:get" 
            ], 
            "Effect": "Allow" 
        } 
    ] 
}复制

示例2：拒绝用户删除集群。

拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny 优先原则 。

如果您给用户授予ES Admin的系统策略，但不希望用户拥有ES admin中定义的删除云服务器权限，您可以创建一条拒绝删除云服务的自定义策略，然后同时将ES Admin和拒绝策略授予用户，根据Deny优先原则，则用户可以对ES执行除了删除集群外的所有操作。拒绝策略示例如下：

"Version": "1.1",  
      "Statement": [  
            {  
		  "Effect": "Deny",  
                  "Action": [  
                        "ES:cluster:delete" 
                  ]  
            }  
      ]  
}复制

示例3：多个授权项策略。

一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下：

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Action": [ 
                "ecs:cloudServers:resize", 
                "ecs:cloudServers:delete", 
                "ecs:cloudServers:delete", 
                "ES:cluster:restart", 
                "ES:*:get*", 
                "ES:*:list*" 
            ], 
            "Effect": "Allow" 
        } 
    ] 
}

相似文档

天翼云云搜索服务使用教程 - 创建Elasticsearch类型集群（安全模式）
本章节主要介绍云搜索服务（ES）如何创建Elasticsearch类型集群（安全模式）。在开始使用云搜索服务时，您必须创建一个集群。云搜索服务6.5.4及之后的版本支持开启安全模式，安全模式开启之后，不能更改。
天翼云云搜索服务使用教程 - 创建Elasticsearch类型集群（非安全模式）
本章节主要介绍云搜索服务（ES）如何创建Elasticsearch类型集群（非安全模式）。在开始使用云搜索服务时，您必须创建一个集群。操作步骤： 1.登录云搜索服务管理控制台。 2.在“总览”或者“集群管理”页面，单击“创建集群”，进入“创建集群”页面。 3.选择“当前区域”和“可用区”。
天翼云云搜索服务使用教程 - 接入集群
本章节主要介绍云搜索服务（ES）如何接入集群。集群创建完成后，可以接入集群开始使用Elasticsearch搜索引擎，如定义索引数据、导入数据、搜索数据等，Elasticsearch搜索引擎相关内容的深入介绍可参见《Elasticsearch：权威指南》。
天翼云云搜索服务使用教程 - 使用Logstash导入数据到Elasticsearch
本章节主要介绍如何使用Logstash导入数据到Elasticsearch。云搜索服务支持使用Logstash将其收集的数据迁移到Elasticsearch中，方便用户通过Elasticsearch搜索引擎高效管理和获取数据。数据文件支持JSON、CSV等格式。
天翼云云搜索服务使用教程 - 使用Kibana或API导入数据到Elasticsearch
本章节主要介绍如何使用Kibana或API导入数据到Elasticsearch。云搜索服务支持使用Kibana或者API将数据导入到Elasticsearch中，数据文件支持JSON、CSV等格式。

文档中心

全民上云·上云补贴申领

免费试用（限企业）

ES系统策略样例

ES自定义策略样例