Elasticsearch: Vorläufige Auswahl des Service Providers

Meine ersten Tests mit Elasticsearch habe ich auf bonsai.io durchgeführt. Wesentliches Kriterium für die Auswahl war der kostenlose Tarif.

Nach den ersten erfolgreichen Gehversuchen stellte sich dann die Frage wie man die Daten in Elasticsearch (ES) absichern kann. ES bietet out of the Box keine Möglichkeit den Zugriff zu regeln. Die Autorisierung muss in der Anwendung erfolgen.

Im Prinzip kann jeder alles auf dem Index über die REST API machen. Eigentlich ist das für mich kein Problem da ich eh nur öffentliche Daten in meinem Index habe. Ich fände es allerdings schon uncool wenn jemand meinen Index löscht oder andere Spam Dokumente in meinen Index einfügt. Dann könnte ein Leser durch die Suche auf unfreundliche Seiten “geführt” werden.

Man kann ES durch verschiedene Möglichkeiten wie Apache Proxies absichern aber während meiner Recherche bin ich auf Facetflow.com gestoßen. Facetflow hat auch einen kleinen kostenlosen Tarif bietet aber die Möglichkeit über sogenannte API Keys eine Art Nutzer einzurichten und die Rechte auf dem Index zu verwalten. So gibt es einen Default Nutzer der nur lesen darf und einen Administrator der alles darf und diese Einschränkungen kann man auch noch mit IP Adressen ab härten.

Der kostenlose Tarif ist zwar etwas kleiner aber für meinen Blog sollte der reichen.

facetflow