ElasticSearch本身没有权限管理模块，只要获取服务器的地址和端口，任何人都可以随意读写ElasticSearch的API并获取数据,这样非常不安全。如果获取了ES的访问IP和端口，一条命令就可以删除整个索引库。好在Elastic公司开发了安全插件shield来解决权限管理问题. https://www.elastic.co/products/shield

一、shield安装

bin/plugin install license bin/plugin install shield

第二步：重启Elasticsearch

bin/elasticsearch

第三步：添加管理员

bin/shield/esusers useradd adminName -r admin

adminName是可以自定义的，执行该命令以后会提示输入密码，再次输入密码进行确认，之后管理员用户就添加成功了。

再访问ES服务器中的数据就需要密码验证了.在终端中执行之前的命令试一下：

curl -XGET "http://192.168.0.224:9200/blog/article/1?pretty" { "error" : { "root_cause" : [ { "type" : "security_exception", "reason" : "missing authentication token for REST request [/blog/article/1?pretty]", "header" : { "WWW-Authenticate" : "Basic realm=\"shield\"" } } ], "type" : "security_exception", "reason" : "missing authentication token for REST request [/blog/article/1?pretty]", "header" : { "WWW-Authenticate" : "Basic realm=\"shield\"" } }, "status" : 401 }

报安全异常，这时候需要把-u 管理员名称加到命令中,截图方便理解：

加入权限以后，在终端中每次执行操作都需要加参数并输入正确的密码。 在浏览器中访问ES同样需要验证：

二、Java Api中使用shield

加入权限管理以后在JAVA Api中需要做修改：

第一步：加入jar包 直接导入 到elasticsearch-2.3.3/plugins/shield目录下拷贝shield-2.3.3.jar，加到CLASSPATH中. 或者maven导入

<project ...> <repositories> <!-- add the elasticsearch repo --> <repository> <id>elasticsearch-releases</id> <url>https://maven.elasticsearch.org/releases</url> <releases> <enabled>true</enabled> </releases> <snapshots> <enabled>false</enabled> </snapshots> </repository> ... </repositories> ... <dependencies> <!-- add the shield jar as a dependency --> <dependency> <groupId>org.elasticsearch.plugin</groupId> <artifactId>shield</artifactId> <version>2.2.0</version> </dependency> ... </dependencies> ... </project>

第二步：修改setting:

import org.elasticsearch.shield.ShieldPlugin; Settings settings = Settings.settingsBuilder() .put("cluster.name", "bropen") .put("shield.user","bropen:password") .build();

第三步：修改client

Client client = TransportClient.builder() .addPlugin(ShieldPlugin.class) .settings(settings).build() .addTransportAddress(new InetSocketTransportAddress(InetAddress.getByName("192.168.0.224"), 9300));

三、shield 用户管理

3.1 新增用户

./elasticsearch-2.3.3/bin/shield/esusers useradd bropen

回车后输入两次密码确认 Enter new password: Retype new password:

3.2 查看用户

./elasticsearch-2.3.3/bin/shield/esusers list

会列出当前所有的user和角色：

es_admin : admin bropen : admin

3.3 修改密码

给用户名为bropen的管理员修改密码：

./elasticsearch-2.3.3/bin/shield/esusers passwd bropen

回车后输入两次密码确认

Enter new password: Retype new password:

3.4 删除用户

./elasticsearch-2.3.3/bin/shield/esusers userdel bropen

查看所有可用命令：

./elasticsearch-2.3.3/bin/shield/esusers -h

如果在head中出现cluster health: not connected的情况，如下图：

可以查看当前用户是不是管理员角色：

./elasticsearch-2.3.3/bin/shield/esusers list

给名为bropen的管理员添加角色：

./elasticsearch-2.3.3/bin/shield/esusers roles bropen -a admin

官网关于Shield的Java api说明： https://www.elastic.co/guide/en/shield/current/_using_elasticsearch_java_clients_with_shield.html

Shield参考手册 https://www.elastic.co/guide/en/shield/current/index.html

2016年9月23日更新: 在stackoverflow上问的大神说Shield插件是收费软件，免费试用1一个月，需要购买license才能继续使用。后来发现shield插件简单的接口可以一直使用，高级功能需要付费后使用。