安全限制

Elasticsearch 的插件基础设施在可扩展性方面非常灵活。虽然它为 Elasticsearch 提供了广泛的（通常是定制的）附加功能，但在安全性方面，这种高扩展性水平是有代价的。我们无法控制第三方插件的代码（无论是开源与否），因此我们无法保证它们与 Elastic Stack 安全功能的兼容性。出于这个原因，第三方插件在启用了安全功能的集群上不受官方支持。

启用了安全功能的Elasticsearch集群将_all和其他通配符应用于当前用户具有权限的数据流、索引和别名，而不是集群上的所有数据流、索引和别名。

当用户尝试访问其无权访问的非现有索引时，多获取和多词向量 API 会抛出 IndexNotFoundException。通过这样做，它们泄露了关于数据流或索引不存在的事实信息，而用户无权了解这些数据流或索引的任何信息。

由于使用别名时可能会泄露索引和字段名称中描述的限制，包含过滤器的别名并不是限制对单个文档访问的安全方式。Elastic Stack 安全功能提供了一种通过文档级别安全性功能来限制对文档访问的安全方式。

当用户的角色启用了数据流或索引的文档或字段级安全时：

当用户的角色为数据流或索引启用了文档级安全时：

在别名上调用某些 Elasticsearch API 可能会潜在地泄露用户无权访问的索引信息。例如，当您使用 _mapping API 获取别名的映射时，响应会包含别名所应用的每个索引的索引名称和映射。

在此限制得到解决之前，请避免使用包含机密或敏感信息的索引和字段名称。

目前，LDAP Realm不支持嵌套LDAP组的发现。例如，如果一个用户是group_1的成员，而group_1是group_2的成员，则只会发现group_1。然而，Active Directory Realm 确实支持传递组成员身份。

通过异步搜索和滚动请求的结果可以由提交初始请求的同一用户或API密钥稍后检索。验证过程涉及比较用户名、认证领域类型以及（对于文件或本地以外的领域）领域名称。如果您使用API密钥提交了请求，则只有该密钥可以检索结果。此逻辑也有一些限制：