---
title: "权限控制"
date: 0001-01-01
summary: "本节聚焦 权限模型与访问控制的参考说明，包括：
 权限、权限分组、角色、后端角色等核心概念 角色如何映射到用户 Access Token 这类程序化认证方式的使用方法 各种访问控制能力的入口（字段级、文档级、安全跨集群搜索等）  如何从业务视角设计角色体系、多租户隔离与审计策略，请参考 Best Practices 里的安全专题。
相关指南（先读这些） #    安全与多租户最佳实践  权限控制 #  配置好自己的证书和身份验证方式之后，就可以开始添加用户、创建角色以及将角色映射到用户了。
文档的这一部分涵盖了用户在成功通过身份验证后可以看到的内容以及可以执行的操作。
一些概念 #     名词 解释     权限 表示单个行为操作，例如创建索引 (e.g. indices:admin/create )。有关完整列表，请参阅 权限清单。   权限分组 代表一组权限，例如 SEARCH 代表搜索相关的若干个操作，即包括 _search 和 _msearch 两个 API.   角色 角色定义操作的权限或范围：集群、索引、文档或字段。如 delivery_analyst 可能不会包含集群角色，但是会包含匹配索引 delivery-data-* 的 READ 权限集合。   后端角色 (可选) 匹配来自外部身份验证系统（例如 LDAP/Active Directory）的任意字符串。后端角色可以帮助简化角色映射过程。您可以将角色映射到所有 100 个用户共享的单个后端角色，而不是将角色映射到 100 个单个用户。   用户 用户可以向 Easysearch 集群发出请求。用户具有凭据（例如用户名和密码）、零个或多个后端角色以及零个或多个自定义属性。   角色映射 用户在成功进行身份验证后的角色映射关系。也就是用户在登录成功之后根据该规则获得的身份角色。可以将每个角色映射到多个用户和/或后端角色。    相关主题 #    用户与角色  Access Token  权限列表  安全 API  "
---


本节聚焦 **权限模型与访问控制的参考说明**，包括：

- 权限、权限分组、角色、后端角色等核心概念
- 角色如何映射到用户
- Access Token 这类程序化认证方式的使用方法
- 各种访问控制能力的入口（字段级、文档级、安全跨集群搜索等）

如何从业务视角设计角色体系、多租户隔离与审计策略，请参考 Best Practices 里的安全专题。

## 相关指南（先读这些）

- [安全与多租户最佳实践]({{< relref "/docs/best-practices/security-and-multi-tenancy.md" >}})

# 权限控制

配置好自己的证书和身份验证方式之后，就可以开始添加用户、创建角色以及将角色映射到用户了。

文档的这一部分涵盖了用户在成功通过身份验证后可以看到的内容以及可以执行的操作。

## 一些概念

| 名词     | 解释                                                                                                                                                                                                  |
| :------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 权限     | 表示单个行为操作，例如创建索引 (e.g. `indices:admin/create` )。有关完整列表，请参阅 [权限清单](permissions/)。                                                                                        |
| 权限分组 | 代表一组权限，例如 `SEARCH` 代表搜索相关的若干个操作，即包括 `_search` 和 `_msearch` 两个 API.                                                                                                        |
| 角色     | 角色定义操作的权限或范围：集群、索引、文档或字段。如 `delivery_analyst` 可能不会包含集群角色，但是会包含匹配索引 `delivery-data-*` 的 `READ` 权限集合。                                               |
| 后端角色 | (可选) 匹配来自外部身份验证系统（例如 LDAP/Active Directory）的任意字符串。后端角色可以帮助简化角色映射过程。您可以将角色映射到所有 100 个用户共享的单个后端角色，而不是将角色映射到 100 个单个用户。 |
| 用户     | 用户可以向 Easysearch 集群发出请求。用户具有凭据（例如用户名和密码）、零个或多个后端角色以及零个或多个自定义属性。                                                                                    |
| 角色映射 | 用户在成功进行身份验证后的角色映射关系。也就是用户在登录成功之后根据该规则获得的身份角色。可以将每个角色映射到多个用户和/或后端角色。                                                                 |

## 相关主题

- [用户与角色]({{< relref "./users-roles.md" >}})
- [Access Token]({{< relref "./access-token.md" >}})
- [权限列表]({{< relref "./permissions.md" >}})
- [安全 API]({{< relref "./api.md" >}})