私のブックマーク
ブックマークを追加
ブックマークを削除ロールの一括作成または更新API
この機能は技術プレビュー中であり、将来のリリースで変更または削除される可能性があります。Elasticは問題を修正するために取り組みますが、技術プレビューの機能は公式GA機能のサポートSLAの対象ではありません。
ネイティブ領域でのロールの一括追加と更新。
リクエスト
POST /_security/role/
前提条件
- このAPIを使用するには、少なくとも
manage_securityクラスター権限を持っている必要があります。
説明
ロール管理APIは、ファイルベースのロール管理を使用するよりも、ロールを管理するための一般的に推奨される方法です。一括作成または更新ロールAPIは、ロールファイルで定義されたロールを更新することはできません。
パスパラメータ
refresh- 書き込みリクエストのリフレッシュポリシーのオプション設定。デフォルトは即時です。
リクエストボディ
以下のパラメータは、POSTリクエストのボディに指定でき、ロールのセットを追加することに関連しています:
roles(オブジェクト) ロールマップにロール名として追加するロール。
<role_name>(必須)- (文字列) ロール名。
applications- (リスト) アプリケーション権限エントリのリスト。
application(必須)- (文字列) このエントリが適用されるアプリケーションの名前。
privileges- (リスト) 各要素がアプリケーション権限またはアクションの名前である文字列のリスト。
resources- (リスト) 権限が適用されるリソースのリスト。
cluster- (リスト) クラスター権限のリスト。これらの権限は、このロールを持つユーザーが実行できるクラスターレベルのアクションを定義します。
global- (オブジェクト) グローバル権限を定義するオブジェクト。グローバル権限は、リクエストを認識するクラスター権限の一形態です。グローバル権限のサポートは、現在アプリケーション権限の管理に限定されています。
indices- (リスト) インデックス権限エントリのリスト。
field_security- (オブジェクト) ロールの所有者が読み取りアクセスを持つドキュメントフィールド。詳細については、フィールドおよびドキュメントレベルのセキュリティの設定を参照してください。
names(必須)- (リスト) このエントリの権限が適用されるインデックス(またはインデックス名パターン)のリスト。
privileges(必須)- (リスト) 指定されたインデックスに対してロールの所有者が持つインデックスレベルの権限。
query- ロールの所有者が読み取りアクセスを持つドキュメントを定義する検索クエリ。指定されたインデックス内のドキュメントは、ロールの所有者がアクセスできるようにするために、このクエリに一致する必要があります。
metadata- (オブジェクト) オプションのメタデータ。
metadataオブジェクト内では、_で始まるキーはシステム使用のために予約されています。 run_as- (リスト) このロールの所有者がなりすますことができるユーザーのリスト。詳細については、他のユーザーの代理でリクエストを送信するを参照してください。
remote_indices- [ベータ] この機能はベータ版であり、変更される可能性があります。設計とコードは公式GA機能よりも成熟しておらず、保証なしでそのまま提供されています。ベータ機能は公式GA機能のサポートSLAの対象ではありません。 (リスト) リモートインデックス権限エントリのリスト。
リモートインデックスは、APIキーベースモデルで構成されたリモートクラスターに対して有効です。 証明書ベースモデルで構成されたリモートクラスターには影響しません。clusters(必須)- (リスト) このエントリの権限が適用されるクラスターエイリアスのリスト。
field_security- (オブジェクト) ロールの所有者が読み取りアクセスを持つドキュメントフィールド。詳細については、フィールドおよびドキュメントレベルのセキュリティの設定を参照してください。
names(必須)- (リスト) リモートクラスター(
clustersで指定)に対してこのエントリの権限が適用されるインデックス(またはインデックス名パターン)のリスト。 privileges(必須)- (リスト) 指定されたインデックスに対してロールの所有者が持つインデックスレベルの権限。
query- ロールの所有者が読み取りアクセスを持つドキュメントを定義する検索クエリ。指定されたインデックス内のドキュメントは、ロールの所有者がアクセスできるようにするために、このクエリに一致する必要があります。
詳細については、ロールの定義を参照してください。
例
以下の例では、my_admin_roleおよびmy_user_roleというロールを追加します:
Python
resp = client.security.bulk_put_role(roles={"my_admin_role": {"cluster": ["all"],"indices": [{"names": ["index1","index2"],"privileges": ["all"],"field_security": {"grant": ["title","body"]},"query": "{\"match\": {\"title\": \"foo\"}}"}],"applications": [{"application": "myapp","privileges": ["admin","read"],"resources": ["*"]}],"run_as": ["other_user"],"metadata": {"version": 1}},"my_user_role": {"cluster": ["all"],"indices": [{"names": ["index1"],"privileges": ["read"],"field_security": {"grant": ["title","body"]},"query": "{\"match\": {\"title\": \"foo\"}}"}],"applications": [{"application": "myapp","privileges": ["admin","read"],"resources": ["*"]}],"run_as": ["other_user"],"metadata": {"version": 1}}},)print(resp)
Js
const response = await client.security.bulkPutRole({roles: {my_admin_role: {cluster: ["all"],indices: [{names: ["index1", "index2"],privileges: ["all"],field_security: {grant: ["title", "body"],},query: '{"match": {"title": "foo"}}',},],applications: [{application: "myapp",privileges: ["admin", "read"],resources: ["*"],},],run_as: ["other_user"],metadata: {version: 1,},},my_user_role: {cluster: ["all"],indices: [{names: ["index1"],privileges: ["read"],field_security: {grant: ["title", "body"],},query: '{"match": {"title": "foo"}}',},],applications: [{application: "myapp",privileges: ["admin", "read"],resources: ["*"],},],run_as: ["other_user"],metadata: {version: 1,},},},});console.log(response);
コンソール
POST /_security/role{"roles": {"my_admin_role": {"cluster": ["all"],"indices": [{"names": ["index1","index2"],"privileges": ["all"],"field_security": {"grant": ["title","body"]},"query": "{\"match\": {\"title\": \"foo\"}}"}],"applications": [{"application": "myapp","privileges": ["admin","read"],"resources": ["*"]}],"run_as": ["other_user"],"metadata": {"version": 1}},"my_user_role": {"cluster": ["all"],"indices": [{"names": ["index1"],"privileges": ["read"],"field_security": {"grant": ["title","body"]},"query": "{\"match\": {\"title\": \"foo\"}}"}],"applications": [{"application": "myapp","privileges": ["admin","read"],"resources": ["*"]}],"run_as": ["other_user"],"metadata": {"version": 1}}}}
成功した呼び出しは、ロールが作成されたか、更新されたか、変更がなかったかを示すJSON構造を返します。
コンソール-結果
{"created": ["my_admin_role","my_user_role"]}
結果タイプ、created、updated、noop、errorsのいずれか。 |
|
| 作成されたロールのリスト。 |
エラーは各ロールの作成または更新ごとに個別に処理されるため、APIは部分的な成功を許可します。
以下のクエリは、権限bad_cluster_privilegeが存在しないためmy_admin_roleに対してエラーをスローしますが、my_user_roleには成功します。
Python
resp = client.security.bulk_put_role(roles={"my_admin_role": {"cluster": ["bad_cluster_privilege"],"indices": [{"names": ["index1","index2"],"privileges": ["all"],"field_security": {"grant": ["title","body"]},"query": "{\"match\": {\"title\": \"foo\"}}"}],"applications": [{"application": "myapp","privileges": ["admin","read"],"resources": ["*"]}],"run_as": ["other_user"],"metadata": {"version": 1}},"my_user_role": {"cluster": ["all"],"indices": [{"names": ["index1"],"privileges": ["read"],"field_security": {"grant": ["title","body"]},"query": "{\"match\": {\"title\": \"foo\"}}"}],"applications": [{"application": "myapp","privileges": ["admin","read"],"resources": ["*"]}],"run_as": ["other_user"],"metadata": {"version": 1}}},)print(resp)
Js
const response = await client.security.bulkPutRole({roles: {my_admin_role: {cluster: ["bad_cluster_privilege"],indices: [{names: ["index1", "index2"],privileges: ["all"],field_security: {grant: ["title", "body"],},query: '{"match": {"title": "foo"}}',},],applications: [{application: "myapp",privileges: ["admin", "read"],resources: ["*"],},],run_as: ["other_user"],metadata: {version: 1,},},my_user_role: {cluster: ["all"],indices: [{names: ["index1"],privileges: ["read"],field_security: {grant: ["title", "body"],},query: '{"match": {"title": "foo"}}',},],applications: [{application: "myapp",privileges: ["admin", "read"],resources: ["*"],},],run_as: ["other_user"],metadata: {version: 1,},},},});console.log(response);
コンソール
POST /_security/role{"roles": {"my_admin_role": {"cluster": ["bad_cluster_privilege"],"indices": [{"names": ["index1","index2"],"privileges": ["all"],"field_security": {"grant": ["title","body"]},"query": "{\"match\": {\"title\": \"foo\"}}"}],"applications": [{"application": "myapp","privileges": ["admin","read"],"resources": ["*"]}],"run_as": ["other_user"],"metadata": {"version": 1}},"my_user_role": {"cluster": ["all"],"indices": [{"names": ["index1"],"privileges": ["read"],"field_security": {"grant": ["title","body"]},"query": "{\"match\": {\"title\": \"foo\"}}"}],"applications": [{"application": "myapp","privileges": ["admin","read"],"resources": ["*"]}],"run_as": ["other_user"],"metadata": {"version": 1}}}}
結果はerrorsフィールドがtrueに設定され、my_admin_roleの更新に対するエラーを保持します。
コンソール-結果
{"created": ["my_user_role"],"errors": {"count": 1,"details": {"my_admin_role": {"type": "action_request_validation_exception","reason": "Validation Failed: 1: unknown cluster privilege [bad_cluster_privilege]. a privilege must be either one of the predefined cluster privilege names [manage_own_api_key,none,cancel_task,cross_cluster_replication,cross_cluster_search,delegate_pki,grant_api_key,manage_autoscaling,manage_index_templates,manage_logstash_pipelines,manage_oidc,manage_saml,manage_search_application,manage_search_query_rules,manage_search_synonyms,manage_service_account,manage_token,manage_user_profile,monitor_connector,monitor_data_stream_global_retention,monitor_enrich,monitor_inference,monitor_ml,monitor_rollup,monitor_snapshot,monitor_text_structure,monitor_watcher,post_behavioral_analytics_event,read_ccr,read_connector_secrets,read_fleet_secrets,read_ilm,read_pipeline,read_security,read_slm,transport_client,write_connector_secrets,write_fleet_secrets,create_snapshot,manage_behavioral_analytics,manage_ccr,manage_connector,manage_data_stream_global_retention,manage_enrich,manage_ilm,manage_inference,manage_ml,manage_rollup,manage_slm,manage_watcher,monitor_data_frame_transforms,monitor_transform,manage_api_key,manage_ingest_pipelines,manage_pipeline,manage_data_frame_transforms,manage_transform,manage_security,monitor,manage,all] or a pattern over one of the available cluster actions;"}}}}
| 成功裏に作成されたロール。 | |
| 発生したエラー。 | |
| エラーが発生したロールリクエストの数。 | |
| ロール名によるエラー。 |
