Elasticsearch 7.3.0 翻译 - 《Set up Elasticsearch》 配置Elasticsearch 安全设置

安全设置

有些设置是敏感的，依赖文件系统权限来保护它们的值是不够的。对于这个用例，Elasticsearch提供一个keystore和用于管理keystore中的设置的elasticsearch-keystore工具。

注意：这里的所有命令都应该作为运行ElasticSearch的用户运行。

重要：只有一些设置设计为从密钥库中读取。但是，密钥库没有有效的来阻止不支持的设置。向密钥库添加不支持的设置将导致ElasticSearch向密钥库添加其他不支持的设置将导致ElasticSearch无法启动。参阅每个设置的文档，以查看它是否受密钥库的支持。

注意：对密钥库的所有修改只有在重新启动ElasticSearch之后才会生效。

注意：ElasticSearch密钥库目前只提供模糊处理。以后会增加密码保护。

这些设置，就像elasticsearch.yml配置文件中的常规设置一样，需要在集群中的每个节点上指定。当前，所有安全设置都是特定于节点的设置，每个节点上必须具有相同的值。

创建密钥库

要创建elasticsearch.keystore，请使用create命令：

bin/elasticsearch-keystore create

文件elasticsearch.keystore将与elasticsearch.yml一起创建。

列出keystore中的设置

使用list命令可以获得密钥库中的设置列表：

bin/elasticsearch-keystore list

添加字符串设置

敏感的字符串设置，如云插件的身份验证凭据，可以使用add命令添加：

bin/elasticsearch-keystore add the.setting.name.to.set

工具将提示输入设置值。要通过stdin传递值，请使用--stdin标志：

cat /file/containing/setting/value | bin/elasticsearch-keystore add --stdin the.setting.name.to.set

添加文件设置

您可以使用添加文件命令添加敏感文件，如云插件的身份验证密钥文件。请确保将文件路径作为参数包含在设置名称之后。

bin/elasticsearch-keystore add-file the.setting.name.to.set /path/example-file.json

删除设置

要从密钥库中删除设置，请使用remove命令：

bin/elasticsearch-keystore remove the.setting.name.to.remove

重新加载的安全设置

就像elasticsearch.yml中的设置值一样，对密钥库内容的更改不会自动应用于正在运行的elasticsearch节点。重新读取设置需要重新启动节点。但是，某些安全设置标记为可重新加载。这样的设置可以在正在运行的节点上重新读取和应用。

所有安全设置的值（是否可重载）必须在所有群集节点上相同。更改所需的安全设置后，使用bin/elasticsearch keystore add命令，调用：

POST _nodes/reload_secure_settings
---------------------------------------
curl -X POST "localhost:9200/_nodes/reload_secure_settings?pretty"

这个API将解密并重新读取每个集群节点上的整个密钥库，但只应用可重载的安全设置。对其他设置的更改将在下次重新启动之前生效。调用返回后，重新加载就完成了，这意味着依赖于这些设置的所有内部数据结构都已更改。一切都应该看起来好像设置从一开始就有了新的值。

更改多个可重新加载的安全设置时，在每个群集节点上修改所有设置，然后发出重新加载安全设置调用，而不是在每次修改后重新加载。