详解MongoDB的角色管理

更新时间：2021年03月25日 10:01:13 作者：AsiaYe

这篇文章主要介绍了详解MongoDB的角色管理的相关资料，帮助大家更好的理解和学习使用MongoDB数据库，感兴趣的朋友可以了解下

NO.1 MongoDB内建角色

内建角色的种类和特点？

想要了解内建角色，还是少不了下面这张图，在MongoDB中，用户的权限是通过角色绑定的方法来分配的。把某个角色绑定在某个用户上，那么这个用户就有这个角色对应的权限了。

MongoDB 4.0中的内建角色类型如下：

这里对上面的内建角色所拥有的权限做以说明：

数据库用户角色：

read：用于读取所有非系统集合，以及下面三个系统集合：

system.indexes、system.js以及system.namesp

readWrite:拥有read角色的所有权限，并且可以修改所有非系统集合和system.js集合上的数据

数据库管理角色：

dbAdmin：提供管理相关功能，例如查询统计信息，索引管理等

userAdmin：提供管理数据库角色及用户的权限，具有这个角色的用户可以为当前数据库的任何用户，包括自己，分配任何角色和权限

dbOwner：提供数据库所有者的权限，它可以对数据库进行任何管理操作，这个角色结合了readWrite、dbAdmin、userAdmin三种角色授予的权限。

集群管理角色：

此类角色提供了管理整个MongoDB的权限，角色只能在admin数据库中进行授权。

clusterManager：提供对集群进行管理和监控的权限

clusterMonitor：提供对监控工具的只读访问权限

hostManager：提供监控和管理服务器的权限

clusterAdmin：提供最高的集群管理访问权限，这个角色拥有clusterManager、clusterMonitor和hostManager角色授予的权限，除此之外，它还具有dropDatabase()权限

备份和恢复角色：

此类角色只能在admin数据库中备份和恢复。

backup：提供备份数据的权限，使用mongodump备份整个mongod实例

restore：提供还原数据库所需的权限，使用户可以通过mongorestore恢复数据

全数据库角色

全数据库角色用于管理所有自定义数据库，但是不包含local和config数据库，它只能被授予在admin用户下。

超级用户：

root，这个不需要过多解释。

用户只能在admin数据库中配置这个权限，拥有这个角色的用户可以对所有数据库进行任何操作。

内部角色：

__system仅仅用于MongoDB内部的管理，不建议将这个权限分配个用户，防止用户对内部系统进行操作。

MongoDB中的角色特点

在MongoDB中，授予用户某个角色的权限时，默认授予当前数据库
角色授权可以授予集合级别的粒度
角色授权分成系统集合以及非系统集合的访问权限
每个数据库中的角色都可以分成一般角色和管理角色
管理数据库可以使用所有的内建角色

NO.2 创建自定义角色

上面的内容，更多的是讲述怎样使用内建角色，这里我们来看创建自定义角色的，

自定义角色有如下三个特点：

1、在一般数据库上创建的角色，只适用于当前数据库

2、在admin数据库上创建的角色，可适用于所有数据库

3、创建角色时，角色名字不能重复，否则报错alread exist

例如我们想给一个账号分配insert，update、select、而不给delete权限。

语法：

db.createRole(
{
 role:"<name>",
 privileges:[
       {resource:{<resource>},actions:["action",...]}
      ],
 roles:[
     {role:"<role>",db:"<database>"}|"<role>"
    ],
 authenticationRestrictions:[
               {clientSource:["<IP 地址>"|"<CIDR range>",...],
               {serverAddress:["<IP 地址>"|"<CIDR range>",...]}
              ]
}
)

其中，resource为指定数据库或者集合，若设置为空，则默认当前数据库的全部集合。

actions：指定权限

范例：

1、首先我们创建一个角色：

use admin

db.createRole(
{
 role:"role_yeyz",
 privileges:[
       {resource:{db:"yeyz",collection:"test"},
       actions:["find","insert","update"]
       }
      ],
 roles:[
     {role:"read",db:"yeyz1"}
    ]
}
)

这个角色的名字叫做role_yeyz，它具有yeyz这个数据库下面的test集合的查找、插入、更新权限。

同时它集成了系统的内建权限read，内建权限的生效数据库是yeyz1

2、使用show roles查看当前角色的创建情况

use admin

show roles

{
    "role" : "role_yeyz",
    "db" : "admin",
    "isBuiltin" : false,
    "roles" : [
        {
            "role" : "read",
            "db" : "yeyz1"
        }
    ],
    "inheritedRoles" : [
        {
            "role" : "read",
            "db" : "yeyz1"
        }
    ]
}

这里它只显示了内建角色的信息,注意，这个角色所在的db是admin

3、此时我们将这个角色，授予给一个新的用户，yeyz_1

> db.createUser(
... {
... user: "yeyz_1",
... pwd: "123456", 
... roles: [ { role: "role_yeyz", db: "admin" }]
... }
... )
Successfully added user: {
    "user" : "yeyz_1",
    "roles" : [
        {
            "role" : "role_yeyz",
            "db" : "admin"
        }
    ]
}

我们创建了一个新的用户yeyz_1,这个用户继承了我们第一步的自定义角色role_yeyz

4、开始认证并执行相关操作。

[root@VM-0-14-centos ~]# mongo
MongoDB shell version v4.0.6
connecting to: mongodb://127.0.0.1:27017/?gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("b9daecb8-ffd8-44a7-8af0-d1115057539a") }
MongoDB server version: 4.0.6
> use admin
switched to db admin
> db.auth("yeyz_1","123456")
1
> use yeyz
switched to db yeyz

### 测试查找，成功
> db.test.find()
{ "_id" : ObjectId("5fa7eae2515b814f18f2d474"), "name" : "aaa" }

### 测试插入，成功
> db.test.insert({"name":"bbb"})
WriteResult({ "nInserted" : 1 })
> db.test.find()
{ "_id" : ObjectId("5fa7eae2515b814f18f2d474"), "name" : "aaa" }
{ "_id" : ObjectId("5fa7f00e523d80402cdfa326"), "name" : "bbb" }

### 测试更新，成功
> db.test.update({"name":"aaa"},{$set:{"name":"ccc"}})
WriteResult({ "nMatched" : 1, "nUpserted" : 0, "nModified" : 1 })
> 
> db.test.find()
{ "_id" : ObjectId("5fa7eae2515b814f18f2d474"), "name" : "ccc" }
{ "_id" : ObjectId("5fa7f00e523d80402cdfa326"), "name" : "bbb" }

### 测试删除，失败，和我们预期一致，因为role_yeyz这个角色，没有删除权限。
> db.test.remove({"name":"bbb"})
WriteCommandError({
    "ok" : 0,
    "errmsg" : "not authorized on yeyz to execute command { delete: \"test\", ordered: true, lsid: { id: UUID(\"b9daecb8-ffd8-44a7-8af0-d1115057539a\") }, $db: \"yeyz\" }",
    "code" : 13,
    "codeName" : "Unauthorized"
})

以上就是详解MongoDB的角色管理的详细内容，更多关于MongoDB的角色管理的资料请关注脚本之家其它相关文章！

您可能感兴趣的文章:

Mongodb启动命令参数中文说明
这篇文章主要介绍了Mongodb启动命令参数中文说明,本文包括基本配置、主/从参数、Sharding(分片)选项等内容,需要的朋友可以参考下
2014-10-10
Mongodb中MapReduce实现数据聚合方法详解
Mongodb是针对大数据量环境下诞生的用于保存大数据量的非关系型数据库，针对大量的数据。接下来通过本文给大家介绍Mongodb中MapReduce实现数据聚合方法详解，感兴趣的朋友一起学习吧
2016-05-05
把MongoDB作为循环队列的方法详解
这篇文章主要给大家介绍了关于把MongoDB作为循环队列的相关资料，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2021-03-03
如何使用Docker安装一个MongoDB最新版
这篇文章主要介绍了如何使用Docker安装一个MongoDB最新版,本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2020-07-07
MongoDB备份和还原的操作指南
MongoDB备份和还原是指将MongoDB数据库中的数据和集合备份到另一个存储位置,并在需要的时候恢复这些备份的过程,备份和还原MongoDB数据库非常重要,本文给大家介绍了MongoDB备份和还原的操作指南,需要的朋友可以参考下
2024-05-05
mongodb 命令行下及php中insert数据详解
这篇文章主要介绍了mongodb 命令行下及php中insert数据详解,需要的朋友可以参考下
2014-07-07
MongoDB windows解压缩版安装教程详解
这篇文章主要介绍了MongoDB windows解压缩版安装教程详解的相关资料,非常不错，具有参考借鉴价值，需要的朋友可以参考下
2016-09-09
MongoDB查询字段没有创建索引导致的连接超时异常解案例分享
这篇文章主要介绍了MongoDB查询字段没有创建索引导致的连接超时异常解案例分享,本文是生产环境下总结而来,需要的朋友可以参考下
2014-10-10
使用zabbix监控mongodb的方法
MongoDB 是一个介于关系数据库和非关系数据库之间的产品，是非关系数据库当中功能最丰富，最像关系数据库的。通过本文给大家介绍使用zabbix监控mongodb的方法，需要的朋友参考下
2016-02-02
浅析MongoDB用户管理
mongodb在2.4最新版本中对用户权限管理做了全新的调整，把权限细化了，增强了安全性，越来越像mysql的权限管理了。废话少说，我们来详细看下吧
2014-08-08