Secure settings

某些设置是敏感的，依靠文件系统权限来保护其值是不够的。对于此用例，Elasticsearch提供了一个密钥库和elasticsearch-keystore工具来管理密钥库中的设置。

这些设置与elasticsearch.yml配置文件中的常规设置一样，需要在集群中的每个节点上指定。目前，所有安全设置都是特定于节点的设置，每个节点上的值必须相同。

创建密钥库 要创建elasticsearch.keystore，请使用create命令：

bin/elasticsearch-keystore create

列出密钥库中的设置 使用list命令可以获得密钥库中的设置列表：

bin/elasticsearch-keystore list

添加字符串设置 可以使用add命令添加敏感字符串设置，例如云插件的身份验证凭据：

bin/elasticsearch-keystore add the.setting.name.to.set

该工具将提示设置的值。要通过stdin传递值，请使用—stdin标志：

cat /file/containing/setting/value | bin/elasticsearch-keystore add --stdin the.setting.name.to.set

添加文件设置 您可以使用add-file命令添加敏感文件，例如云插件的身份验证密钥文件。确保在设置名称后包含文件路径作为参数。

bin/elasticsearch-keystore add-file the.setting.name.to.set /path/example-file.json

移除设置 要从密钥库中删除设置，请使用remove命令：

bin/elasticsearch-keystore remove the.setting.name.to.remove

重新安装安全设置 与elasticsearch.yml中的设置值一样，对密钥库内容的更改不会自动应用于正在运行的elasticsearch节点。重新读取设置需要重新启动节点。但是，某些安全设置被标记为可重新加载。可以重新读取这些设置并将其应用于正在运行的节点上。

所有安全设置的值（可重新加载或不可加载）在所有群集节点上必须相同。在进行所需的安全设置更改后，使用bin / elasticsearch-keystore add命令，调用：

POST _nodes/reload_secure_settings

此API将在每个群集节点上解密并重新读取整个密钥库，但仅应用可重新加载的安全设置。对其他设置的更改将在下次重新启动后生效。一旦调用返回，重载就已完成，这意味着所有依赖于这些设置的内部数据结构都已更改。一切看起来好像设置从一开始就具有新值。

更改多个可重新加载的安全设置时，请在每个群集节点上修改所有这些设置，然后发出reload_secure_settings调用，而不是在每次修改后重新加载。