原理介紹

系統默認有admin用戶，在admin用戶下，可以創建不同用戶。

賬號密碼提供了身份認證（authc），通過角色的映射實現了授權（authz），兩者共同實現了多用戶下的安全控制。

功能介紹

Elasticsearch和OpenSearch的此項功能類似，下面以OpenSearch Dashboards為例說明。

在OpenSearch Dashboards的左邊欄Security菜單中，用戶可以實現集群、索引、文檔、字段等不同粒度的訪問權限管控，并且提供靈活的用戶刪除、用戶和角色的綁定和解綁。

下面，我們就以創建新用戶并賦予它一個具備一定的訪問權限的角色為例。

注意
必須登錄admin賬號創建其他用戶。

1、創建Internal users

點擊左邊欄Security后，選擇右上角Create internal user來創建用戶。在頁面中，我們輸入用戶名密碼，并點擊右下角“Create”創建用戶。

用戶創建完成后，我們自動返回Internal users界面，可以看到search用戶已經創建完成。

2、創建角色

角色通過索引、實例多維度的精細訪問控制，實現對實例、索引權限的安全組劃分。如果復用已有的默認角色（不可刪除），則無需創建，可以跳過此步驟。

下面我們將演示如何自定義角色。

登錄左邊欄Security界面，選擇Roles，并且在右上角點擊Create role：

1. 我們分別創建了角色名SearchRole，并且，在Cluster permission中給它賦予了相應的安全組權限。
2. 我們給它設定了索引級別的更細粒度的Index permission。
3. 下面還可以設置Document和Field維度的進一步細粒度的權限控制。
4. 點擊右下角的Create ，就可以創建好角色SearchRole。

3、映射用戶和角色

將創建的用戶和角色綁定。

登錄左邊欄Security界面，選擇Roles，并找到剛創建好的角色SearchRole。

 點擊角色進入，并選擇Mapped users。將我們創建的用戶，映射到這個角色上，并點擊右下角Map完成映射。

這樣，我們就可以用賦予了新角色的賬號直接登錄了。