組み込みロール

Elastic Stackのセキュリティ機能は、すべてのユーザーにデフォルトのロールを適用します。これには、匿名ユーザーが含まれます。デフォルトのロールにより、ユーザーは認証エンドポイントにアクセスし、自分のパスワードを変更し、自分に関する情報を取得できます。

ユーザーに明示的に割り当てることができる一連の組み込みロールもあります。これらのロールは固定された特権のセットを持ち、更新することはできません。

  • apm_system
  • APMシステムユーザーがElasticsearchにシステムレベルのデータ(監視など)を送信するために必要なアクセスを付与します。
  • apm_user
  • APMユーザーに必要な特権(readおよびview_index_metadata特権をapm-*および.ml-anomalies*インデックスに対して)を付与します。[7.13.0] 7.13.0で非推奨。代替案についてはAPMアプリユーザーと特権を参照してください。
  • beats_admin
  • Beatsの設定情報を含む.management-beatsインデックスへのアクセスを付与します。
  • beats_system
  • BeatsシステムユーザーがElasticsearchにシステムレベルのデータ(監視など)を送信するために必要なアクセスを付与します。
    • このロールは、付与された権限がリリース間で変更される可能性があるため、ユーザーに割り当てるべきではありません。
    • このロールは、beatsインデックスへのアクセスを提供せず、Elasticsearchにbeats出力を書き込むためには適していません。
  • data_frame_transforms_admin
  • 変換を管理するためのmanage_data_frame_transformsクラスター特権を付与します。このロールには、機械学習機能のためのすべてのKibana特権も含まれています。[7.5.0] 7.5.0で非推奨。transform_adminに置き換えられました。
  • data_frame_transforms_user
  • 変換を使用するためのmonitor_data_frame_transformsクラスター特権を付与します。このロールには、機械学習機能のためのすべてのKibana特権も含まれています。[7.5.0] 7.5.0で非推奨。transform_userに置き換えられました。
  • editor
  • Kibanaのすべての機能(ソリューションを含む)への完全なアクセスとデータインデックスへの読み取り専用アクセスを付与します。
    • このロールは、ドットで始まらない任意のインデックスへの読み取りアクセスを提供します。
    • このロールは、新しいKibana機能がリリースされるとすぐに、完全なアクセスを自動的に付与します。
    • 一部のKibana機能は、データインデックスへの作成または書き込みアクセスを必要とする場合があります。機械学習データフレーム分析ジョブがその例です。そのような機能には、特権を別のロールで定義する必要があります。
  • enrich_user
  • すべてのエンリッチインデックス(.enrich-*)と、インジェストパイプラインに対するすべての操作を管理するためのアクセスを付与します。
  • inference_admin
  • inference_userロールのすべての特権と{inference} APIの完全な使用を提供します。manage_inferenceクラスター特権を付与します。
  • inference_user
  • {inference}構成を表示し、推論を実行するために必要な最小限の特権を提供します。monintor_inferenceクラスター特権を付与します。
  • ingest_admin
  • すべてのインデックステンプレートとすべてのインジェストパイプライン設定を管理するためのアクセスを付与します。
    このロールは、インデックスを作成する権限を提供しません。これらの特権は、別のロールで定義する必要があります。
  • kibana_dashboard_only_user
  • (このロールは非推奨です。代わりにKibana機能特権を使用してください)。すべてのKibanaのスペースにおけるKibanaダッシュボードへの読み取り専用アクセスを付与します。このロールは、Kibanaの編集ツールへのアクセスを持ちません。
  • kibana_system
  • KibanaシステムユーザーがKibanaインデックスから読み書きし、インデックステンプレートとトークンを管理し、Elasticsearchクラスターの可用性を確認するために必要なアクセスを付与します。また、ユーザープロファイルのアクティブ化、検索、取得、およびkibana-*名前空間のユーザープロファイルデータの更新を許可します。このロールは、.monitoring-*インデックスへの読み取りアクセスと.reporting-*インデックスへの読み書きアクセスを付与します。詳細については、Kibanaのセキュリティの設定を参照してください。
    このロールは、付与された権限がリリース間で変更される可能性があるため、ユーザーに割り当てるべきではありません。
  • kibana_admin
  • Kibanaのすべての機能へのアクセスを付与します。Kibanaの認可に関する詳細については、Kibanaの認可を参照してください。
  • kibana_user
  • (このロールは非推奨です。代わりにkibana_adminロールを使用してください。)Kibanaのすべての機能へのアクセスを付与します。Kibanaの認可に関する詳細については、Kibanaの認可を参照してください。
  • logstash_admin
  • 設定を管理するための.logstash*インデックスへのアクセスを付与し、logstash x-packプラグインによって公開されるlogstash特有のAPIに必要なアクセスを付与します。
  • logstash_system
  • LogstashシステムユーザーがElasticsearchにシステムレベルのデータ(監視など)を送信するために必要なアクセスを付与します。詳細については、Logstashのセキュリティの設定を参照してください。
    • このロールは、付与された権限がリリース間で変更される可能性があるため、ユーザーに割り当てるべきではありません。
    • このロールは、logstashインデックスへのアクセスを提供せず、Logstashパイプライン内での使用には適していません。
  • machine_learning_admin
  • machine_learning_userロールのすべての特権に加えて、機械学習APIの完全な使用を提供します。manage_mlクラスター特権、.ml-anomalies*.ml-notifications*.ml-state*.ml-meta*インデックスへの読み取りアクセス、および.ml-annotations*インデックスへの書き込みアクセスを付与します。機械学習管理者は、ソースおよび宛先インデックスのインデックス特権とKibanaへのアクセスを付与するロールも必要です。機械学習のセキュリティ特権を参照してください。
  • machine_learning_user
  • 機械学習の構成、ステータスを表示し、結果を操作するために必要な最小限の特権を付与します。このロールは、monitor_mlクラスター特権、機械学習結果を格納する.ml-notificationsおよび.ml-anomalies*インデックスへの読み取りアクセス、および.ml-annotations*インデックスへの書き込みアクセスを付与します。機械学習ユーザーは、ソースおよび宛先インデックスのインデックス特権とKibanaへのアクセスを付与するロールも必要です。機械学習のセキュリティ特権を参照してください。
  • monitoring_user
  • Kibanaを使用するために必要な特権を除く、X-Pack監視の任意のユーザーに必要な最小限の特権を付与します。このロールは、監視インデックスへのアクセスを付与し、基本的なクラスター情報を読み取るために必要な特権を付与します。このロールには、Elastic Stack監視機能のためのすべてのKibana特権も含まれています。監視ユーザーには、kibana_adminロールまたはKibanaインスタンスへのアクセスを持つ他のロールも割り当てる必要があります。
  • remote_monitoring_agent
  • 監視インデックス(.monitoring-*)にデータを書き込むために必要な最小限の特権を付与します。このロールには、Metricbeatインデックス(metricbeat-*)を作成し、それにデータを書き込むために必要な特権も含まれています。
  • remote_monitoring_collector
  • Elastic Stackの監視データを収集するために必要な最小限の特権を付与します。
  • reporting_user
  • Kibanaを使用するために必要な特権を除く、X-Packレポートのユーザーに必要な特定の特権を付与します。このロールは、レポートインデックスへのアクセスを付与します。各ユーザーは、自分のレポートのみにアクセスできます。レポートユーザーには、Kibanaへのアクセスを付与する追加のロールと、レポート生成に使用されるインデックスへの読み取りアクセスを付与する必要があります。
  • rollup_admin
  • すべてのロールアップアクションを管理および実行するためのmanage_rollupクラスター特権を付与します。
  • rollup_user
  • ロールアップに関連する読み取り専用操作を実行するためのmonitor_rollupクラスター特権を付与します。
  • snapshot_user
  • すべてのインデックスのスナップショットを作成し、そのメタデータを表示するために必要な特権を付与します。このロールは、既存のスナップショットリポジトリの構成とスナップショットの詳細を表示することを可能にします。リポジトリを削除または追加したり、スナップショットを復元する権限は付与されません。また、インデックス設定を変更したり、データストリームやインデックスデータを読み取ったり更新したりすることもできません。
  • superuser
  • クラスター管理とデータインデックスへの完全なアクセスを付与します。このロールは、.securityのような制限されたインデックスへの直接の読み取り専用アクセスも付与します。superuserロールを持つユーザーは、システム内の他の任意のユーザーをなりすますことができます。
    Elastic Cloudでは、superuserロールを持つ標準ユーザーを含むすべてのユーザーは、オペレーター専用のアクションを実行することが制限されています。
    このロールは、セキュリティを管理し、無制限の特権を持つロールを作成することができます。ユーザーに割り当てる際は特に注意が必要です。
  • transform_admin
  • 変換を管理するためのmanage_transformクラスター特権を付与します。このロールには、機械学習機能のためのすべてのKibana特権も含まれています。
  • transform_user
  • 変換に関連する読み取り専用操作を実行するためのmonitor_transformクラスター特権を付与します。このロールには、機械学習機能のためのすべてのKibana特権も含まれています。
  • transport_client
  • Java Transport Clientを介してクラスターにアクセスするために必要な特権を付与します。Java Transport Clientは、ノードの生存確認APIとクラスター状態APIを使用して、クラスター内のノードに関する情報を取得します(スニッフィングが有効な場合)。Transport Clientを使用するユーザーには、このロールを割り当ててください。
    Transport Clientを効果的に使用することは、ユーザーにクラスター状態へのアクセスを付与することを意味します。これにより、ユーザーはすべてのインデックス、インデックステンプレート、マッピング、ノード、およびクラスターに関する基本的なすべてのメタデータを表示できます。ただし、このロールは、すべてのインデックス内のデータを表示する権限を付与しません。
  • viewer
  • Kibanaのすべての機能(ソリューションを含む)とデータインデックスへの読み取り専用アクセスを付与します。
    • このロールは、ドットで始まらない任意のインデックスへの読み取りアクセスを提供します。
    • このロールは、新しいKibana機能が利用可能になるとすぐに、読み取り専用アクセスを自動的に付与します。
  • watcher_admin
  • ユーザーがすべてのWatcherアクションを作成および実行できるようにします。.watchesインデックスへの読み取りアクセスを付与します。また、ウォッチ履歴とトリガーされたウォッチインデックスへの読み取りアクセスも付与します。
  • watcher_user
  • .watchesインデックス、ウォッチアクションの取得、およびウォッチャースタッツへの読み取りアクセスを付与します。