目錄
- NO.1 MongoDB內(nèi)建角色
- 內(nèi)建角色的種類和特點��?
- 數(shù)據(jù)庫用戶角色:
- 數(shù)據(jù)庫管理角色:
- 集群管理角色:
- 備份和恢復角色:
- 全數(shù)據(jù)庫角色
- 超級用戶:
- 內(nèi)部角色:
- MongoDB中的角色特點
- NO.2 創(chuàng)建自定義角色
NO.1 MongoDB內(nèi)建角色
內(nèi)建角色的種類和特點?
想要了解內(nèi)建角色�����,還是少不了下面這張圖�,在MongoDB中,用戶的權(quán)限是通過角色綁定的方法來分配的��。把某個角色綁定在某個用戶上���,那么這個用戶就有這個角色對應的權(quán)限了��。
MongoDB 4.0中的內(nèi)建角色類型如下:
這里對上面的內(nèi)建角色所擁有的權(quán)限做以說明:
數(shù)據(jù)庫用戶角色:
read:用于讀取所有非系統(tǒng)集合����,以及下面三個系統(tǒng)集合:
system.indexes、system.js以及system.namesp
readWrite:擁有read角色的所有權(quán)限���,并且可以修改所有非系統(tǒng)集合和system.js集合上的數(shù)據(jù)
數(shù)據(jù)庫管理角色:
dbAdmin:提供管理相關(guān)功能����,例如查詢統(tǒng)計信息��,索引管理等
userAdmin:提供管理數(shù)據(jù)庫角色及用戶的權(quán)限���,具有這個角色的用戶可以為當前數(shù)據(jù)庫的任何用戶����,包括自己�����,分配任何角色和權(quán)限
dbOwner:提供數(shù)據(jù)庫所有者的權(quán)限���,它可以對數(shù)據(jù)庫進行任何管理操作����,這個角色結(jié)合了readWrite、dbAdmin��、userAdmin三種角色授予的權(quán)限���。
集群管理角色:
此類角色提供了管理整個MongoDB的權(quán)限��,角色只能在admin數(shù)據(jù)庫中進行授權(quán)��。
clusterManager:提供對集群進行管理和監(jiān)控的權(quán)限
clusterMonitor:提供對監(jiān)控工具的只讀訪問權(quán)限
hostManager:提供監(jiān)控和管理服務器的權(quán)限
clusterAdmin:提供最高的集群管理訪問權(quán)限��,這個角色擁有clusterManager����、clusterMonitor和hostManager角色授予的權(quán)限�,除此之外���,它還具有dropDatabase()權(quán)限
備份和恢復角色:
此類角色只能在admin數(shù)據(jù)庫中備份和恢復����。
backup:提供備份數(shù)據(jù)的權(quán)限,使用mongodump備份整個mongod實例
restore:提供還原數(shù)據(jù)庫所需的權(quán)限��,使用戶可以通過mongorestore恢復數(shù)據(jù)
全數(shù)據(jù)庫角色
全數(shù)據(jù)庫角色用于管理所有自定義數(shù)據(jù)庫�����,但是不包含local和config數(shù)據(jù)庫��,它只能被授予在admin用戶下�。
超級用戶:
root,這個不需要過多解釋�。
用戶只能在admin數(shù)據(jù)庫中配置這個權(quán)限,擁有這個角色的用戶可以對所有數(shù)據(jù)庫進行任何操作�。
內(nèi)部角色:
__system僅僅用于MongoDB內(nèi)部的管理,不建議將這個權(quán)限分配個用戶���,防止用戶對內(nèi)部系統(tǒng)進行操作����。
MongoDB中的角色特點
- 在MongoDB中��,授予用戶某個角色的權(quán)限時���,默認授予當前數(shù)據(jù)庫
- 角色授權(quán)可以授予集合級別的粒度
- 角色授權(quán)分成系統(tǒng)集合以及非系統(tǒng)集合的訪問權(quán)限
- 每個數(shù)據(jù)庫中的角色都可以分成一般角色和管理角色
- 管理數(shù)據(jù)庫可以使用所有的內(nèi)建角色
NO.2 創(chuàng)建自定義角色
上面的內(nèi)容��,更多的是講述怎樣使用內(nèi)建角色��,這里我們來看創(chuàng)建自定義角色的���,
自定義角色有如下三個特點:
1���、在一般數(shù)據(jù)庫上創(chuàng)建的角色,只適用于當前數(shù)據(jù)庫
2����、在admin數(shù)據(jù)庫上創(chuàng)建的角色,可適用于所有數(shù)據(jù)庫
3�、創(chuàng)建角色時,角色名字不能重復�,否則報錯alread exist
例如我們想給一個賬號分配insert,update�、select、而不給delete權(quán)限����。
語法:
db.createRole(
{
role:"name>",
privileges:[
{resource:{resource>},actions:["action",...]}
],
roles:[
{role:"role>",db:"database>"}|"role>"
],
authenticationRestrictions:[
{clientSource:["IP 地址>"|"CIDR range>",...],
{serverAddress:["IP 地址>"|"CIDR range>",...]}
]
}
)
其中���,resource為指定數(shù)據(jù)庫或者集合�����,若設(shè)置為空��,則默認當前數(shù)據(jù)庫的全部集合���。
actions:指定權(quán)限
范例:
1����、首先我們創(chuàng)建一個角色:
use admin
db.createRole(
{
role:"role_yeyz",
privileges:[
{resource:{db:"yeyz",collection:"test"},
actions:["find","insert","update"]
}
],
roles:[
{role:"read",db:"yeyz1"}
]
}
)
這個角色的名字叫做role_yeyz���,它具有yeyz這個數(shù)據(jù)庫下面的test集合的查找�、插入、更新權(quán)限�。
同時它集成了系統(tǒng)的內(nèi)建權(quán)限r(nóng)ead,內(nèi)建權(quán)限的生效數(shù)據(jù)庫是yeyz1
2���、使用show roles查看當前角色的創(chuàng)建情況
use admin
show roles
{
"role" : "role_yeyz",
"db" : "admin",
"isBuiltin" : false,
"roles" : [
{
"role" : "read",
"db" : "yeyz1"
}
],
"inheritedRoles" : [
{
"role" : "read",
"db" : "yeyz1"
}
]
}
這里它只顯示了內(nèi)建角色的信息,注意,這個角色所在的db是admin
3����、此時我們將這個角色,授予給一個新的用戶����,yeyz_1
> db.createUser(
... {
... user: "yeyz_1",
... pwd: "123456",
... roles: [ { role: "role_yeyz", db: "admin" }]
... }
... )
Successfully added user: {
"user" : "yeyz_1",
"roles" : [
{
"role" : "role_yeyz",
"db" : "admin"
}
]
}
我們創(chuàng)建了一個新的用戶yeyz_1,這個用戶繼承了我們第一步的自定義角色role_yeyz
4�����、開始認證并執(zhí)行相關(guān)操作��。
[root@VM-0-14-centos ~]# mongo
MongoDB shell version v4.0.6
connecting to: mongodb://127.0.0.1:27017/?gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("b9daecb8-ffd8-44a7-8af0-d1115057539a") }
MongoDB server version: 4.0.6
> use admin
switched to db admin
> db.auth("yeyz_1","123456")
1
> use yeyz
switched to db yeyz
### 測試查找�����,成功
> db.test.find()
{ "_id" : ObjectId("5fa7eae2515b814f18f2d474"), "name" : "aaa" }
### 測試插入�,成功
> db.test.insert({"name":"bbb"})
WriteResult({ "nInserted" : 1 })
> db.test.find()
{ "_id" : ObjectId("5fa7eae2515b814f18f2d474"), "name" : "aaa" }
{ "_id" : ObjectId("5fa7f00e523d80402cdfa326"), "name" : "bbb" }
### 測試更新��,成功
> db.test.update({"name":"aaa"},{$set:{"name":"ccc"}})
WriteResult({ "nMatched" : 1, "nUpserted" : 0, "nModified" : 1 })
>
> db.test.find()
{ "_id" : ObjectId("5fa7eae2515b814f18f2d474"), "name" : "ccc" }
{ "_id" : ObjectId("5fa7f00e523d80402cdfa326"), "name" : "bbb" }
### 測試刪除�,失敗,和我們預期一致���,因為role_yeyz這個角色�����,沒有刪除權(quán)限���。
> db.test.remove({"name":"bbb"})
WriteCommandError({
"ok" : 0,
"errmsg" : "not authorized on yeyz to execute command { delete: \"test\", ordered: true, lsid: { id: UUID(\"b9daecb8-ffd8-44a7-8af0-d1115057539a\") }, $db: \"yeyz\" }",
"code" : 13,
"codeName" : "Unauthorized"
})
以上就是詳解MongoDB的角色管理的詳細內(nèi)容,更多關(guān)于MongoDB的角色管理的資料請關(guān)注腳本之家其它相關(guān)文章��!
您可能感興趣的文章:- 詳解MongoDB中的日志模塊
- MongoDB聚合group的操作指南
- java操作mongodb之多表聯(lián)查的實現(xiàn)($lookup)
- 2021最新版windows10系統(tǒng)MongoDB數(shù)據(jù)庫安裝及配置環(huán)境
- MongoDB 常用的數(shù)據(jù)類型和基本操作
- MongoDB 簡單入門教程(安裝����、基本概念、創(chuàng)建用戶)
- MongoDB 主分片(primary shard)相關(guān)總結(jié)
- MongoDB 監(jiān)控工具mongostat和mongotop的使用
- MongoDB 副本集的搭建過程
- MongoDB的chunk詳解
