엘라스틱서치:: Secure settings

Intro::

엘라스틱서치 공식문서 정리본입니다.

Secure settings

일부 설정은 민감하기 때문에 파일 시스템 권한에 의존하여 해당 값을 보호하는 것만으로는 충분하지 않습니다. 이 사용 사례의 경우, Elasticsearch는 키 저장소와 키 저장소의 설정을 관리할 수 있는 elasticsearch-keystore 도구를 제공합니다.

일부 설정만 키 저장소에서 읽을 수 있도록 설계되었습니다. 지원되지 않는 설정을 키 저장소에 추가하면 _nodes/reload_secure_settings API의 유효성 검사가 실패하고 해결되지 않으면 Elasticsearch가 시작되지 않게 됩니다. 키 저장소에서 설정이 지원되는지 확인하려면 설정 참조에서 "보안" 한정자를 찾으세요.

키 저장소에 대한 모든 수정 사항은 Elasticsearch를 다시 시작한 후에만 적용됩니다.

이러한 설정은 elasticsearch.yml 구성 파일의 일반 설정과 마찬가지로 클러스터의 각 노드에서 지정해야 합니다. 현재 모든 보안 설정은 모든 노드에서 동일한 값을 가져야 하는 노드별 설정입니다.

Reloadable secure settings

elasticsearch.yml의 설정 값과 마찬가지로, 키 저장소 콘텐츠에 대한 변경 사항은 실행 중인 Elasticsearch 노드에 자동으로 적용되지 않습니다. 설정을 다시 읽으려면 노드를 다시 시작해야 합니다. 그러나 특정 보안 설정은 다시 로드할 수 있는 것으로 표시되어 있습니다. 이러한 설정은 실행 중인 노드에서 다시 읽고 적용할 수 있습니다.

노드를 시작하기 전에 이러한 설정을 정의하거나, 설정이 정의된 후 노드 보안 설정 다시 로드 API를 호출하여 실행 중인 노드에 적용할 수 있습니다.

모든 보안 설정의 값은 재로드 가능 여부와 관계없이 모든 클러스터 노드에서 동일해야 합니다. 원하는 보안 설정을 변경한 후 bin/elasticsearch-keystore add 명령을 사용하여 호출합니다:


POST _nodes/reload_secure_settings
{
  "secure_settings_password": "keystore-password" 
}

이 API는 전체 키 저장소를 해독하고 다시 읽으며 모든 클러스터 노드의 모든 설정을 검증하지만 다시 로드 가능한 보안 설정만 적용됩니다. 다른 설정에 대한 변경 사항은 다음에 다시 시작할 때까지 적용되지 않습니다. 호출이 반환되면 다시 로드가 완료된 것이며, 이는 이러한 설정에 의존하는 모든 내부 데이터 구조가 변경되었음을 의미합니다. 모든 설정이 처음부터 새로운 값을 가진 것처럼 보일 것입니다.

재로드 가능한 여러 보안 설정을 변경하는 경우 각 클러스터 노드에서 모든 설정을 수정한 다음 각 수정 후에 다시 로드하는 대신 reload_secure_settings 호출을 실행하세요.

References::

Secure settings | Elasticsearch Guide [8.14] | Elastic

Some settings are sensitive, and relying on filesystem permissions to protect their values is not sufficient. For this use case, Elasticsearch provides a keystore and the elasticsearch-keystore tool to manage the settings in the keystore.

https://www.elastic.co/guide/en/elasticsearch/reference/current/secure-settings.html#reloadable-secure-settings