ロールの作成または更新（Create or update roles）

役割の作成または更新 API

ネイティブ領域に役割を追加および更新します。

リクエスト

POST /_security/role/<name>

PUT /_security/role/<name>

前提条件

• この API を使用するには、少なくとも manage_security クラスター権限を持っている必要があります。

説明

役割管理 API は、ファイルベースの役割管理を使用するよりも、役割を管理するための一般的に推奨される方法です。役割の作成または更新 API は、役割ファイルで定義された役割を更新することはできません。

パスパラメータ

• name
• (文字列) 役割の名前。

リクエストボディ

次のパラメータは、PUT または POST リクエストのボディに指定でき、役割を追加することに関連しています：

• applications
• (リスト) アプリケーション権限エントリのリスト。
  • application (必須)
  • (文字列) このエントリが適用されるアプリケーションの名前
  • privileges
  • (リスト) 各要素がアプリケーション権限またはアクションの名前である文字列のリスト。
  • resources
  • (リスト) 権限が適用されるリソースのリスト。
• cluster
• (リスト) クラスター権限のリスト。これらの権限は、この役割を持つユーザーが実行できるクラスター レベルのアクションを定義します。
• description
• (文字列) 役割の説明。最大長は 1000 文字です。
• global
• (オブジェクト) グローバル権限を定義するオブジェクト。グローバル権限は、リクエストを認識するクラスター権限の一形態です。グローバル権限のサポートは、現在アプリケーション権限の管理に限定されています。このフィールドはオプションです。
• indices
• (リスト) インデックス権限エントリのリスト。
  • field_security
  • (オブジェクト) 役割の所有者が読み取りアクセスを持つドキュメントフィールド。詳細については、フィールドおよびドキュメントレベルのセキュリティの設定を参照してください。
  • names (必須)
  • (リスト) このエントリの権限が適用されるインデックス (またはインデックス名パターン) のリスト。
  • privileges(必須)
  • (リスト) 指定されたインデックスに対して役割の所有者が持つインデックスレベルの権限。
  • query
  • 役割の所有者が読み取りアクセスを持つドキュメントを定義する検索クエリ。指定されたインデックス内のドキュメントは、役割の所有者がアクセスできるようにするために、このクエリに一致する必要があります。
• metadata
• (オブジェクト) オプションのメタデータ。 metadata オブジェクト内では、_ で始まるキーはシステム使用のために予約されています。
• run_as
• (リスト) この役割の所有者がなりすますことができるユーザーのリスト。詳細については、他のユーザーに代わってリクエストを送信するを参照してください。
• remote_indices
• (リスト) リモートインデックス権限エントリのリスト。
  リモートインデックスは、API キー ベースのモデルで構成されたリモート クラスターに対して有効です。 証明書ベースのモデルで構成されたリモート クラスターには影響しません。
  • clusters (必須)
  • (リスト) このエントリの権限が適用されるクラスターエイリアスのリスト。
  • field_security
  • (オブジェクト) 役割の所有者が読み取りアクセスを持つドキュメントフィールド。詳細については、フィールドおよびドキュメントレベルのセキュリティの設定を参照してください。
  • names (必須)
  • (リスト) リモート クラスター (clusters で指定) のインデックス (またはインデックス名パターン) のリスト。このエントリの権限が適用されます。
  • privileges(必須)
  • (リスト) 指定されたインデックスに対して役割の所有者が持つインデックスレベルの権限。
  • query
  • 役割の所有者が読み取りアクセスを持つドキュメントを定義する検索クエリ。指定されたインデックス内のドキュメントは、役割の所有者がアクセスできるようにするために、このクエリに一致する必要があります。

詳細については、役割の定義を参照してください。

例

次の例では、my_admin_role という名前の役割を追加します:

Python

resp = client.security.put_role(
   name="my_admin_role",
   description="Grants full access to all management features within the cluster.",
   cluster=[
   "all"
   ],
   indices=[
   {
   "names": [
   "index1",
   "index2"
   ],
   "privileges": [
   "all"
   ],
   "field_security": {
   "grant": [
   "title",
   "body"
   ]
   },
   "query": "{\"match\": {\"title\": \"foo\"}}"
   }
   ],
   applications=[
   {
   "application": "myapp",
   "privileges": [
   "admin",
   "read"
   ],
   "resources": [
   "*"
   ]
   }
   ],
   run_as=[
   "other_user"
   ],
   metadata={
   "version": 1
   },
)
print(resp)

Js

const response = await client.security.putRole({
  name: "my_admin_role",
  description:
   "Grants full access to all management features within the cluster.",
  cluster: ["all"],
  indices: [
   {
   names: ["index1", "index2"],
   privileges: ["all"],
   field_security: {
   grant: ["title", "body"],
   },
   query: '{"match": {"title": "foo"}}',
   },
  ],
  applications: [
   {
   application: "myapp",
   privileges: ["admin", "read"],
   resources: ["*"],
   },
  ],
  run_as: ["other_user"],
  metadata: {
   version: 1,
  },
});
console.log(response);

コンソール

POST /_security/role/my_admin_role
{
  "description": "Grants full access to all management features within the cluster.",
  "cluster": ["all"],
  "indices": [
   {
   "names": [ "index1", "index2" ],
   "privileges": ["all"],
   "field_security" : { // optional
   "grant" : [ "title", "body" ]
   },
   "query": "{\"match\": {\"title\": \"foo\"}}" // optional
   }
  ],
  "applications": [
   {
   "application": "myapp",
   "privileges": [ "admin", "read" ],
   "resources": [ "*" ]
   }
  ],
  "run_as": [ "other_user" ], // optional
  "metadata" : { // optional
   "version" : 1
  }
}

成功した呼び出しは、役割が作成または更新されたかどうかを示す JSON 構造を返します。

コンソール-結果

{
  "role": {
   "created": true
  }
}

次の例では、JDBC で SQL を実行できる役割を構成します:

Python

resp = client.security.put_role(
   name="cli_or_drivers_minimal",
   cluster=[
   "cluster:monitor/main"
   ],
   indices=[
   {
   "names": [
   "test"
   ],
   "privileges": [
   "read",
   "indices:admin/get"
   ]
   }
   ],
)
print(resp)

Js

const response = await client.security.putRole({
  name: "cli_or_drivers_minimal",
  cluster: ["cluster:monitor/main"],
  indices: [
   {
   names: ["test"],
   privileges: ["read", "indices:admin/get"],
   },
  ],
});
console.log(response);

コンソール

POST /_security/role/cli_or_drivers_minimal
{
  "cluster": ["cluster:monitor/main"],
  "indices": [
   {
   "names": ["test"],
   "privileges": ["read", "indices:admin/get"]
   }
  ]
}

次の例では、リモート クラスターでリモート インデックス権限を持つ役割を構成します:

Python

resp = client.security.put_role(
   name="role_with_remote_indices",
   remote_indices=[
   {
   "clusters": [
   "my_remote"
   ],
   "names": [
   "logs*"
   ],
   "privileges": [
   "read",
   "read_cross_cluster",
   "view_index_metadata"
   ]
   }
   ],
)
print(resp)

Js

const response = await client.security.putRole({
  name: "role_with_remote_indices",
  remote_indices: [
   {
   clusters: ["my_remote"],
   names: ["logs*"],
   privileges: ["read", "read_cross_cluster", "view_index_metadata"],
   },
  ],
});
console.log(response);

コンソール

POST /_security/role/role_with_remote_indices
{
  "remote_indices": [
   {
   "clusters": [ "my_remote" ],
   "names": ["logs*"],
   "privileges": ["read", "read_cross_cluster", "view_index_metadata"]
   }
  ]
}