私のブックマーク
ブックマークを追加
ブックマークを削除セキュリティ特権
このセクションでは、ロールに割り当てることができる特権のリストを示します。
クラスター特権
all |
スナップショット作成、ノードのシャットダウン/再起動、設定の更新、再ルーティング、またはユーザーとロールの管理など、すべてのクラスター管理操作。 |
cancel_task |
タスクをキャンセルし、非同期検索を削除するための特権。 詳細については、非同期検索の削除 APIを参照してください。 |
create_snapshot |
既存のリポジトリのスナップショットを作成するための特権。既存のリポジトリとスナップショットの詳細をリストおよび表示することもできます。 この特権はElastic Cloudサーバーレスでは利用できません。 |
cross_cluster_replication |
クロスクラスター複製のために、APIキーに基づくモデルで構成されたリモートクラスターに接続するための特権。 この特権はElastic Cloudサーバーレスでは利用できません。 この特権は直接付与されるべきではありません。内部で使用され、 クロスクラスターAPIキーの作成およびクロスクラスターAPIキーの更新 を使用してクロスクラスターAPIキーを管理します。 |
cross_cluster_search |
クロスクラスター検索のために、APIキーに基づくモデルで構成されたリモートクラスターに接続するための特権。 この特権はElastic Cloudサーバーレスでは利用できません。 この特権は直接付与されるべきではありません。内部で使用され、 クロスクラスターAPIキーの作成およびクロスクラスターAPIキーの更新 を使用してクロスクラスターAPIキーを管理します。 |
grant_api_key |
他のユーザーの代わりにElasticsearch APIキーを作成するための特権。 この特権はElastic Cloudサーバーレスでは利用できません。 |
manage |
monitorに基づき、クラスター内の値を変更するクラスター操作を追加します。これにはスナップショット作成、設定の更新、再ルーティングが含まれます。また、スナップショットと復元のステータスを取得することも含まれます。この特権にはセキュリティを管理する能力は含まれません。 |
manage_api_key |
Elasticsearch REST APIキーに関するすべてのセキュリティ関連操作、 新しいAPIキーの作成、 APIキーに関する情報の取得、 APIキーのクエリ、 APIキーの更新、 APIキーの一括更新、および APIキーの無効化を含みます。 - 新しいAPIキーを作成すると、それらは常に認証されたユーザーによって所有されます。 - この特権を持っている場合、自分のAPIキーと他のユーザーが所有するAPIキーを無効化できます。 |
manage_autoscaling |
自動スケーリングポリシーの管理に関連するすべての操作。 この特権はElastic Cloudサーバーレスでは利用できません。 |
manage_ccr |
フォロワーインデックスと自動フォローパターンの管理に関連するすべてのクロスクラスター複製操作。この特権は、フォロワーインデックスと自動フォローパターンを管理するために必要な特権を付与する権限も含まれます。この特権は、フォロワーインデックスを含むクラスターでのみ必要です。 この特権はElastic Cloudサーバーレスでは利用できません。 |
manage_data_frame_transforms |
トランスフォームの管理に関連するすべての操作。 [7.5] 7.5で非推奨。 manage_transformを代わりに使用してください。この特権はElastic Cloudサーバーレスでは利用できません。 |
manage_data_stream_global_retention |
データストリームのグローバル保持設定の管理に関連するすべての操作。 この特権はElastic Cloudサーバーレスでは利用できません。 |
manage_enrich |
エンリッチポリシーの管理と実行に関連するすべての操作。 |
manage_ilm |
ポリシーの管理に関連するすべてのインデックスライフサイクル管理操作。 この特権はElastic Cloudサーバーレスでは利用できません。 |
manage_index_templates |
インデックステンプレートに関するすべての操作。 |
manage_inference |
推論の管理に関連するすべての操作。 |
manage_ingest_pipelines |
インジェストパイプラインに関するすべての操作。 |
manage_logstash_pipelines |
Logstashパイプラインに関するすべての操作。 |
manage_ml |
データフィード、ジョブ、モデルスナップショットの作成と削除など、すべての機械学習操作。 バージョン6.2以前に作成されたデータフィードや、セキュリティ機能が無効になっているときに作成されたデータフィードは、すべてのインデックスを読み取る権限を含む特権を持つシステムユーザーとして実行されます。新しいデータフィードは、それらを作成または更新したユーザーのセキュリティロールで実行されます。 |
manage_oidc |
Elasticsearch APIを使用することを可能にします。 ( OpenID接続の準備認証、 OpenID接続の認証、および OpenID接続のログアウト) 他のユーザーの代わりにOpenID接続認証を開始および管理します。 この特権はElastic Cloudサーバーレスでは利用できません。 |
manage_own_api_key |
現在認証されたユーザーが所有するElasticsearch APIキーに関するすべてのセキュリティ関連操作。操作には、 新しいAPIキーの作成、 APIキーに関する情報の取得、 APIキーのクエリ、 APIキーの更新、 APIキーの一括更新、および APIキーの無効化が含まれます。 |
manage_pipeline |
インジェストパイプラインに関するすべての操作。 |
manage_rollup |
すべてのロールアップ操作、作成、開始、停止、削除を含むロールアップジョブ。 この特権はElastic Cloudサーバーレスでは利用できません。 |
manage_saml |
他のユーザーの代わりにSAML認証を開始および管理するために内部Elasticsearch APIを使用することを可能にします。 この特権はElastic Cloudサーバーレスでは利用できません。 |
manage_search_application |
検索アプリケーションに関するすべてのCRUD操作。 |
manage_search_query_rules |
クエリルールに関するすべてのCRUD操作。 |
manage_search_synonyms |
同義語APIに関するすべての同義語管理操作。 |
manage_security |
ユーザーとロールに関するCRUD操作やキャッシュクリアなど、すべてのセキュリティ関連操作。 |
manage_service_account |
Elasticsearchサービスアカウントに関するすべてのセキュリティ関連操作、 サービスアカウントの取得、 サービスアカウントトークンの作成、 サービスアカウントトークンの削除、および サービスアカウントの資格情報の取得を含みます。 この特権はElastic Cloudサーバーレスでは利用できません。 |
manage_slm |
スナップショットライフサイクル管理(SLM)アクションに関するすべての操作、ポリシーの作成と更新、SLMの開始と停止を含む。 この特権はElastic Cloudサーバーレスでは利用できません。 [8.15] 8.15で非推奨。 インデックスライフサイクル管理を開始および停止する権限も付与します。 ILM開始およびILM停止 APIを使用します。 将来のメジャーリリースでは、この特権はインデックスライフサイクル管理の権限を付与しなくなります。 |
manage_token |
Elasticsearchトークンサービスによって生成されたトークンに関するすべてのセキュリティ関連操作。 この特権はElastic Cloudサーバーレスでは利用できません。 |
manage_transform |
トランスフォームの管理に関連するすべての操作。 |
manage_watcher |
ウォッチャー操作に関するすべての操作、ウォッチの設定、実行、アクティブ化または確認。 この特権はElastic Cloudサーバーレスでは利用できません。 バージョン6.1以前に作成されたウォッチや、セキュリティ機能が無効になっているときに作成されたウォッチは、すべてのインデックスを読み書きする権限を持つシステムユーザーとして実行されます。新しいウォッチは、それらを作成または更新したユーザーのセキュリティロールで実行されます。 |
monitor |
クラスターの読み取り専用操作、クラスターの健康状態と状態、ホットスレッド、ノード情報、ノードおよびクラスターの統計、保留中のクラスタータスクなど。 |
monitor_data_stream_global_retention |
データストリームのグローバル保持設定を取得することを許可します。 この特権はElastic Cloudサーバーレスでは利用できません。 |
monitor_enrich |
エンリッチポリシーの管理と実行に関連するすべての読み取り専用操作。 |
monitor_inference |
推論に関連するすべての読み取り専用操作。 |
monitor_ml |
データフィード、ジョブ、モデルスナップショット、または結果に関する情報を取得するなど、すべての読み取り専用機械学習操作。 |
monitor_rollup |
歴史的および現在実行中のロールアップジョブのリストとその機能を表示するなど、すべての読み取り専用ロールアップ操作。 この特権はElastic Cloudサーバーレスでは利用できません。 |
monitor_snapshot |
既存のリポジトリとスナップショットの詳細をリストおよび表示するための特権。 この特権はElastic Cloudサーバーレスでは利用できません。 |
monitor_text_structure |
構造を見つけるAPIに関連するすべての読み取り専用操作。 この特権はElastic Cloudサーバーレスでは利用できません。 |
monitor_transform |
トランスフォームに関連するすべての読み取り専用操作。 |
monitor_watcher |
ウォッチャーに関するすべての読み取り専用操作、ウォッチとウォッチャーの統計を取得するなど。 この特権はElastic Cloudサーバーレスでは利用できません。 |
read_ccr |
リーダーインデックスに関する情報とメタデータを取得するなど、すべての読み取り専用クロスクラスター複製操作。ユーザーがリーダーインデックスをフォローするための適切な特権を持っているかどうかを確認する権限も含まれます。 この特権は、リーダーインデックスを含むクラスターでのみ必要です。 この特権はElastic Cloudサーバーレスでは利用できません。 |
read_ilm |
インデックスライフサイクル管理に関するすべての読み取り専用操作、ポリシーの取得とインデックスライフサイクル管理の状態を確認するなど。 この特権はElastic Cloudサーバーレスでは利用できません。 |
read_pipeline |
インジェストパイプラインへの読み取り専用アクセス(取得、シミュレーション)。 |
read_slm |
ポリシーの取得とSLMの状態を確認するなど、すべての読み取り専用SLMアクション。 この特権はElastic Cloudサーバーレスでは利用できません。 [8.15] 8.15で非推奨。 インデックスライフサイクル管理の状態を取得する権限も付与します。 ILMの状態を取得 APIを使用します。将来のメジャーリリースでは、この特権はインデックスライフサイクル管理の権限を付与しなくなります。 |
read_security |
ユーザー、ユーザープロファイル、Elasticsearch APIキー、Elasticsearchサービスアカウント、ロールおよびロールマッピングの取得など、すべての読み取り専用セキュリティ関連操作。 すべてのElasticsearch APIキーに関するクエリおよび情報の取得を許可します。 |
transport_client |
トランスポートクライアントが接続するために必要なすべての特権。リモートクラスターがクロスクラスター検索を有効にするために必要です。 この特権はElastic Cloudサーバーレスでは利用できません。 |
インデックス特権
all |
インデックスまたはデータストリームに対する任意のアクション。 |
auto_configure |
インデックスとデータストリームの自動作成を許可します。自動作成アクションは、 インデックスまたはバルクリクエストの結果であり、存在しないインデックスまたはデータストリームをターゲットにするもので、明示的な インデックス作成または データストリーム作成リクエストではありません。また、既存のマッピングと矛盾しない場合、インデックスとデータストリームのマッピングの自動更新も許可します。自動更新マッピングアクションは、インデックスまたはデータストリームに新しいフィールドが含まれているインデックスまたはバルクリクエストの結果であり、明示的なマッピングの更新リクエストではありません。 |
create |
ドキュメントをインデックスするための特権。 [8.0] 8.0で非推奨。 インデックスマッピングの更新権限も付与します(ただしデータストリームのマッピングではありません)。 マッピングの更新APIを使用するか、 動的フィールドマッピングに依存します。将来のメジャーリリースでは、この特権はマッピング更新権限を付与しなくなります。 この特権は、ドキュメントの作成にインデックス操作を制限するのではなく、APIの使用をインデックスAPIに制限します。インデックスAPIは、ユーザーが以前にインデックスされたドキュメントを上書きすることを許可します。代替として create_doc特権を参照してください。 |
create_doc |
ドキュメントをインデックスするための特権。 既存のドキュメントを更新または上書きする権限は付与されません。 [8.0] 8.0で非推奨。 インデックスマッピングの更新権限も付与します(ただしデータストリームのマッピングではありません)。 マッピングの更新APIを使用するか、 動的フィールドマッピングに依存します。将来のメジャーリリースでは、この特権はマッピング更新権限を付与しなくなります。 この特権は、インデックスリクエストの op_typeに依存します(インデックスおよびバルク)。create_doc特権を持つユーザーとしてドキュメントをインジェストする場合(indexやwriteなどのより高い特権は持たない場合)、次のいずれかを使用してop_typeをcreateに設定する必要があります。- インデックスまたはバルクAPIで op_typeを明示的に設定する- インデックスAPIの _createエンドポイントを使用する- 自動生成された _idを持つドキュメントを作成する |
create_index |
インデックスまたはデータストリームを作成するための特権。作成インデックスリクエストには、作成後にインデックスに追加されるエイリアスが含まれる場合があります。その場合、リクエストにはmanage特権も必要です。 |
cross_cluster_replication |
APIキーに基づくモデルで構成されたリモートクラスターにあるインデックスのクロスクラスター複製を実行するための特権。 この特権は、リモートインデックス特権の privilegesフィールドのためだけに使用されるべきです。この特権はElastic Cloudサーバーレスでは利用できません。 |
privileges |
APIキーに基づくモデルで構成されたリモートクラスターからのクロスクラスター複製をサポートするためのアクションを実行するための特権。 この特権はElastic Cloudサーバーレスでは利用できません。 この特権は直接付与されるべきではありません。内部で使用され、 クロスクラスターAPIキーの作成およびクロスクラスターAPIキーの更新 を使用してクロスクラスターAPIキーを管理します。 |
delete |
ドキュメントを削除するための特権。 |
delete_index |
インデックスまたはデータストリームを削除するための特権。 |
index |
ドキュメントをインデックスおよび更新するための特権。 [8.0] 8.0で非推奨。 インデックスマッピングの更新権限も付与します(ただしデータストリームのマッピングではありません)。 マッピングの更新APIを使用するか、 動的フィールドマッピングに依存します。将来のメジャーリリースでは、この特権はマッピング更新権限を付与しなくなります。 |
maintenance |
リフレッシュ、フラッシュ、同期フラッシュ、強制マージインデックス管理操作を許可します。 インデックスデータを読み取ったり書き込んだりする権限はありません。 |
manage |
すべてのmonitor特権に加えて、インデックスおよびデータストリームの管理(エイリアス、分析、キャッシュクリア、クローズ、削除、存在、フラッシュ、マッピング、オープン、フィールド機能、強制マージ、リフレッシュ、設定、検索シャード、クエリの検証)。 |
manage_data_stream_lifecycle |
データストリームのライフサイクルに関するすべてのデータストリームライフサイクル操作。これには、データストリームからライフサイクルを追加および削除する操作が含まれます。 |
manage_follow_index |
フォロワーインデックスのライフサイクルを管理するために必要なすべてのアクション。これには、フォロワーインデックスの作成、クローズ、および通常のインデックスへの変換が含まれます。この特権は、フォロワーインデックスを含むクラスターでのみ必要です。 この特権はElastic Cloudサーバーレスでは利用できません。 |
manage_ilm |
インデックスまたはデータストリームのポリシーの実行を管理するためのインデックスライフサイクル管理操作に関するすべての操作。これには、ポリシーの再試行やインデックスまたはデータストリームからポリシーを削除する操作が含まれます。 この特権はElastic Cloudサーバーレスでは利用できません。 |
manage_leader_index |
リーダーインデックスのライフサイクルを管理するために必要なすべてのアクション。これには、フォロワーを忘れるが含まれます。この特権は、リーダーインデックスを含むクラスターでのみ必要です。 この特権はElastic Cloudサーバーレスでは利用できません。 |
monitor |
監視に必要なすべてのアクション(回復、セグメント情報、インデックス統計および状態)。 |
read |
アクションへの読み取り専用アクセス(カウント、説明、取得、mget、インデックスされたスクリプトの取得、 このようなもの、マルチパーコレート/検索/タームベクター、パーコレート、スクロール、 clear_scroll、検索、提案、tv)。 |
read_cross_cluster |
リモートクラスターからの検索アクションへの読み取り専用アクセス。 この特権はElastic Cloudサーバーレスでは利用できません。 |
view_index_metadata |
インデックスおよびデータストリームメタデータへの読み取り専用アクセス(エイリアス、存在、フィールド機能、フィールドマッピング、インデックスの取得、データストリームの取得、ilmの説明、 マッピング、検索シャード、設定、クエリの検証)。 この特権は主にKibanaユーザーによって使用されます。 |
write |
ドキュメントへのすべての書き込み操作を実行するための特権。これには、ドキュメントのインデックス、更新、削除、およびバルク操作の実行が含まれ、インデックスマッピングを動的に更新することも許可されます。 [8.0] 8.0で非推奨。 インデックスマッピングの更新権限も付与します(ただしデータストリームのマッピングではありません)。 マッピングの更新APIを使用します。 将来のメジャーリリースでは、この特権は取り消されます。 |
実行権限
run_as権限は、認証されたユーザーが他のユーザーの代わりにリクエストを送信できるようにします。値はユーザー名またはカンマ区切りのユーザー名のリストであることができます。(ユーザーを文字列の配列またはYAMLシーケンスとして指定することもできます。)詳細については、他のユーザーの代わりにリクエストを送信するを参照してください。
この特権はElastic Cloudサーバーレスでは利用できません。
アプリケーション特権
アプリケーション特権はElasticsearch内で管理され、特権の確認APIおよびアプリケーション特権の取得APIで取得できます。ただし、Elasticsearch内のアクションやリソースへのアクセスを付与するものではありません。これらの目的は、アプリケーションがElasticsearchロール内で独自の特権モデルを表現し、保存できるようにすることです。
アプリケーション特権を作成するには、アプリケーション特権の追加APIを使用します。次に、ロールの定義に記載されているように、これらのアプリケーション特権をロールに関連付けることができます。
