允许 POST 访问 ElasticSearch 的多搜索 API 是否安全

允许 POST 访问 ElasticSearch 的多搜索 API 是否安全

我们正在运行一个使用托管在 AWS 上的 elasticsearch 的应用程序。客户端界面对 vuejs 使用“ReactiveSearch”,它针对此处描述的“_msearch”界面发出 POST 请求:https://www.elastic.co/guide/en/elasticsearch/reference/current/search-multi-search.html

阅读文档后,我看不出任何可能导致此方法不安全的东西,例如删除数据,但我想确认一下。AWS 文档“建议”仅保持“GET”打开:https://docs.aws.amazon.com/en_pv/elasticsearch-service/latest/developerguide/es-ac.html

那么将这个端点暴露给公众是否安全?

以下是AWS策略:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "es:ESHttpPost",
      "Resource": "arn:aws:es:us-east-2:943306001616:domain/wimj/product/_msearch",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": "0.0.0.0/0"
        }
      }
    }
  ]
}

相关内容