ドキュメントレベルのセキュリティ

ドキュメントレベルのセキュリティは、ユーザーが読み取りアクセスできるドキュメントを制限します。特に、ドキュメントベースの読み取りAPIからアクセスできるドキュメントを制限します。

ドキュメントレベルのセキュリティを有効にするには、各ロールがアクセスできるドキュメントを指定するクエリを使用します。ドキュメント query は特定のデータストリーム、インデックス、またはワイルドカード (*) パターンに関連付けられ、データストリームおよびインデックスに指定された特権と連携して動作します。

指定されたドキュメント query:

  • 検索リクエストで定義されている場合と同じ形式を期待します
  • 現在認証されているユーザーの詳細にアクセスできる ロールクエリのテンプレート化 をサポートします
  • 文字列値またはネストされたJSONとして書かれたクエリを受け入れます
  • Elasticsearchの大部分の クエリドメイン特化言語 (DSL) をサポートし、フィールドおよびドキュメントレベルのセキュリティに関して いくつかの制限 があります

query パラメータを省略すると、該当するインデックスの権限エントリに対するドキュメントレベルのセキュリティが完全に無効になります。

次のロール定義は、すべての events-* データストリームおよびインデックス内の click カテゴリに属するドキュメントにのみ読み取りアクセスを付与します:

Python

  1. resp = client.security.put_role(
  2.    name="click_role",
  3.    indices=[
  4.    {
  5.    "names": [
  6.    "events-*"
  7.    ],
  8.    "privileges": [
  9.    "read"
  10.    ],
  11.    "query": "{\"match\": {\"category\": \"click\"}}"
  12.    }
  13.    ],
  14. )
  15. print(resp)

Js

  1. const response = await client.security.putRole({
  2.   name: "click_role",
  3.   indices: [
  4.    {
  5.    names: ["events-*"],
  6.    privileges: ["read"],
  7.    query: '{"match": {"category": "click"}}',
  8.    },
  9.   ],
  10. });
  11. console.log(response);

コンソール

  1. POST /_security/role/click_role
  2. {
  3.   "indices": [
  4.    {
  5.    "names": [ "events-*" ],
  6.    "privileges": [ "read" ],
  7.    "query": "{\"match\": {\"category\": \"click\"}}"
  8.    }
  9.   ]
  10. }

この同じクエリをネストされたJSON構文を使用して記述できます:

Python

  1. resp = client.security.put_role(
  2.    name="click_role",
  3.    indices=[
  4.    {
  5.    "names": [
  6.    "events-*"
  7.    ],
  8.    "privileges": [
  9.    "read"
  10.    ],
  11.    "query": {
  12.    "match": {
  13.    "category": "click"
  14.    }
  15.    }
  16.    }
  17.    ],
  18. )
  19. print(resp)

Js

  1. const response = await client.security.putRole({
  2.   name: "click_role",
  3.   indices: [
  4.    {
  5.    names: ["events-*"],
  6.    privileges: ["read"],
  7.    query: {
  8.    match: {
  9.    category: "click",
  10.    },
  11.    },
  12.    },
  13.   ],
  14. });
  15. console.log(response);

コンソール

  1. POST _security/role/click_role
  2. {
  3.   "indices": [
  4.    {
  5.    "names": [ "events-*" ],
  6.    "privileges": [ "read" ],
  7.    "query": {
  8.    "match": {
  9.    "category": "click"
  10.    }
  11.    }
  12.    }
  13.   ]
  14. }

次のロールは、department_id12 に等しいドキュメントにのみ読み取りアクセスを付与します:

Python

  1. resp = client.security.put_role(
  2.    name="dept_role",
  3.    indices=[
  4.    {
  5.    "names": [
  6.    "*"
  7.    ],
  8.    "privileges": [
  9.    "read"
  10.    ],
  11.    "query": {
  12.    "term": {
  13.    "department_id": 12
  14.    }
  15.    }
  16.    }
  17.    ],
  18. )
  19. print(resp)

Js

  1. const response = await client.security.putRole({
  2.   name: "dept_role",
  3.   indices: [
  4.    {
  5.    names: ["*"],
  6.    privileges: ["read"],
  7.    query: {
  8.    term: {
  9.    department_id: 12,
  10.    },
  11.    },
  12.    },
  13.   ],
  14. });
  15. console.log(response);

コンソール

  1. POST /_security/role/dept_role
  2. {
  3.   "indices" : [
  4.    {
  5.    "names" : [ "*" ],
  6.    "privileges" : [ "read" ],
  7.    "query" : {
  8.    "term" : { "department_id" : 12 }
  9.    }
  10.    }
  11.   ]
  12. }