Splunk权限设计

Splunk的权限设计使用的是通用的RBAC（Role base acess control）权限模型。

Splunk是一个数据分析平台，通过日志分析起家。

RBAC权限模型简单来说就是通过角色将用户和权限关联起来。

RBAC基本思想

Splunk在初始时，预设五个角色，分别为

1.admin：此角色适用于管理所有或大多数用户，对象和配置的管理员，并具有分配最多的功能。

这个就是所谓的超级管理员的角色

2.power：该角色可以编辑所有共享对象（保存的搜索等）以及警报，标记事件和其他类似任务。

该角色可以操作所有的资源

3.user：该角色可以创建，编辑和运行自己的搜索，保存这些搜索，编辑自己的首选项，创建和编辑事件类型以及其他类似任务。

最基本的角色

4.can_delete：此角色允许用户通过关键字删除。使用删除搜索运算符时，此功能是必需的。

这个角色我理解就是对数据进行删除的角色

5.sc_admin（仅适用于Splunk Cloud）：此角色允许用户创建其他用户和角色，但不授予任何其他管理功能。

云环境的角色，这个暂时不做详细分析

以上五个角色为系统自带的角色，不可删除，当然，用户也可以新增角色。

---

角色中可配置的权限

功能：您可以指定拥有该角色的用户可以执行哪些操作，例如，更改其密码，更改转发器设置等。有关更多信息，请参见关于使用功能定义角色。

功能权限

允许的索引和默认索引：您可以限制对特定索引的访问，并设置Splunk平台默认搜索的索引。

搜索限制：除了指定拥有角色的用户可以搜索的索引之外，您还可以指定搜索过滤器来限制这些用户可以看到的搜索结果。有关其他信息，请参阅本主题中的“搜索限制”。

数据权限

资源访问：您可以控制拥有该角色的所有用户一次可以运行多少个标准搜索和实时搜索，以及每个用户的单独限制。您可以将搜索限制在某个时间范围内，并控制具有该角色的用户创建的搜索作业有多少磁盘空间可用。