私のブックマーク
ブックマークを追加
ブックマークを削除X-Packのブートストラップチェック
Elasticsearchのブートストラップチェックに加えて、X-Pack機能に特有のチェックがあります。
機密データの暗号化チェック
Watcherを使用し、機密データを暗号化することを選択した場合(xpack.watcher.encrypt_sensitive_dataをtrueに設定)、セキュア設定ストアにキーを配置する必要があります。
このブートストラップチェックに合格するには、クラスター内の各ノードでxpack.watcher.encryption_keyを設定する必要があります。詳細については、Watcherでの機密データの暗号化を参照してください。
PKIレルムチェック
Elasticsearchのセキュリティ機能と公開鍵基盤(PKI)レルムを使用する場合、クラスターでトランスポート層セキュリティ(TLS)を構成し、ネットワーク層(トランスポートまたはHTTPのいずれか)でクライアント認証を有効にする必要があります。詳細については、PKIユーザー認証および基本セキュリティとHTTPSの設定を参照してください。
このブートストラップチェックに合格するには、PKIレルムが有効な場合、TLSを構成し、少なくとも1つのネットワーク通信層でクライアント認証を有効にする必要があります。
ロールマッピングチェック
nativeまたはfileレルム以外のレルムでユーザーを認証する場合、ロールマッピングを作成する必要があります。これらのロールマッピングは、各ユーザーに割り当てられるロールを定義します。
ロールマッピングをファイルで管理する場合、YAMLファイルを構成し、それをクラスター内の各ノードにコピーする必要があります。デフォルトでは、ロールマッピングはES_PATH_CONF/role_mapping.ymlに保存されます。別のロールマッピングファイルを各タイプのレルムに指定し、その場所をelasticsearch.ymlファイルに指定することもできます。詳細については、ロールマッピングファイルの使用を参照してください。
このブートストラップチェックに合格するには、ロールマッピングファイルが存在し、有効である必要があります。ロールマッピングファイルにリストされている識別名(DN)も有効である必要があります。
SSL/TLSチェック
Elasticsearchのセキュリティ機能を有効にする場合、トライアルライセンスがない限り、ノード間通信のためにSSL/TLSを構成する必要があります。
ループバックインターフェースを使用する単一ノードクラスターには、この要件はありません。詳細については、セキュリティを有効にしてElastic Stackを自動的に起動するを参照してください。
このブートストラップチェックに合格するには、クラスター内でSSL/TLSを設定する必要があります。
トークンSSLチェック
Elasticsearchのセキュリティ機能を使用し、組み込みのトークンサービスが有効な場合、HTTPインターフェースでSSL/TLSを使用するようにクラスターを構成する必要があります。トークンサービスを使用するにはHTTPSが必要です。
特に、xpack.security.authc.token.enabledがtrueに設定されている場合、elasticsearch.ymlファイル内でxpack.security.http.ssl.enabledをtrueに設定する必要があります。これらの設定に関する詳細は、セキュリティ設定および高度なHTTP設定を参照してください。
このブートストラップチェックに合格するには、HTTPSを有効にするか、組み込みのトークンサービスを無効にする必要があります。
