Sicherheit auf Dokumentebene in Suche mit OpenSearch
Erfahren Sie mehr über die Verwendung der Sicherheit auf Dokumentebene mit Search with OpenSearch.
OCI Search mit OpenSearch unterstützt die Sicherheit auf Dokumentebene, die vom OpenSearch-Sicherheits-Plug-in aktiviert wird. Mit der Sicherheit auf Dokumentebene können Sie den Zugriff auf Dokumente in einem Index auf eine bestimmte Rolle basierend auf einer bestimmten Abfrage einschränken.
Wenn für einen Benutzer mehrere Rollen gelten, von denen einige einen restriktiveren Zugriff haben, wird der erweiterte Zugriff angewendet.
Wenn für die Rolle nichts für die Sicherheit auf Dokumentebene angegeben ist, hat diese Rolle basierend auf den angegebenen Indexberechtigungen Zugriff auf alle Dokumente innerhalb der Indizes, auf die sie zugreifen kann.
Voraussetzungen
Die folgenden Voraussetzungen sind erforderlich, um die Sicherheit auf Dokumentebene in der Suche mit OpenSearch zu aktivieren.
Der Sicherheitsmodus für das Cluster muss auf "Erzwingen" gesetzt sein. Weitere Informationen dazu, wie Sie diese Einstellung prüfen und gegebenenfalls aktualisieren können, finden Sie unter Sicherheitsmodus prüfen und Sicherheitsmodus auf "Durchsetzen" festlegen.
Die OpenSearch-Version für das Cluster muss 2.3 sein.
Sicherheit auf Dokumentebene verwenden
Um die Sicherheit auf Dokumentebene in der Suche mit OpenSearch zu verwenden, geben Sie ein Indexmuster und eine OpenSearch-Abfrage für eine Rolle an. Verwenden Sie OpenSearch query DSL für die Abfrage.
-
Melden Sie sich bei den OpenSearch Dashboards Ihres Clusters an, und wählen Sie Sicherheit aus.
-
Wählen Sie Rollen aus, und erstellen Sie entweder eine neue Rolle, oder bearbeiten Sie eine vorhandene Rolle.
-
Geben Sie unter Index ein Indexmuster an.
-
Geben Sie unter Sicherheit auf Dokumentebene eine OpenSearch-Abfrage an.
Beispiel: Die folgende Beispielabfrage ist in der Dokumentation OpenSearch Document Level Security enthalten:
{ "bool": { "must": { "match": { "genres": "Comedy" } } } }Beschränkt den Zugriff für die Rolle auf Dokumente, in denen das Feld
genresComedyenthält.
Sicherheit auf Dokumentebene mit der REST-API konfigurieren
Verwenden Sie die Rollen-API, um die Sicherheit auf Dokumentebene zu konfigurieren, wie im folgenden Beispiel in der Dokumentation OpenSearch Document Level Security gezeigt:
PUT _plugins/_security/api/roles/comedy_data
{
"cluster_permissions": [
"*"
],
"index_permissions": [{
"index_patterns": [
"pub*"
],
"dls": "{\"bool\":{\"must\":{\"match\":{\"genres\":\"Comedy\"}}}}",
"allowed_actions": [
"read"
]
}]
}In diesem Beispiel wird gezeigt, wie Sie eine Rolle, comedy_data, konfigurieren, die den Zugriff auf alle Dokumente mit dem Genre "Comedy" in einem beliebigen Index ermöglicht.