system.roles集合

在本页

admin数据库中的system.roles集合存储用户定义的角色。为了创建和管理这些用户自定义角色,MongoDB提供了角色管理命令

system.roles 集合的Schema

system.roles集合中的文档具有以下的schema:

复制

{
  _id: <system-defined id>,
  role: "<role name>",
  db: "<database>",
  privileges:
      [
          {
              resource: { <resource> },
              actions: [ "<action>", ... ]
          },
          ...
      ],
  roles:
      [
          { role: "<role name>", db: "<database>" },
          ...
      ]
}

一个system.roles文档具有以下字段:

  • admin.system.roles.``role

role字段是一个字符串,用于指定角色的名称。

  • admin.system.roles.``db

db字段是一个字符串,用于指定角色所属的数据库。MongoDB通过名称(即role)及其数据库的配对来唯一标识每个角色 。

  • admin.system.roles.``privileges

privileges数组包含权限文件,这些文件定义了角色的权限

权限文档具有以下语法:

复制

  {
    resource: { <resource> },
    actions: [ "<action>", ... ]
  }

每个权限文档具有以下字段:

admin.system.roles.privileges[n].resource

一个文档,该文档指定权限操作所应用的资源。

该文档具有以下格式之一:

复制

  { db: <database>, collection: <collection> }

或者

  { cluster : true }

有关更多详细信息,请阅读资源文档

admin.system.roles.privileges[n].actions

资源上允许的一系列操作, 有关操作列表,请参阅权限操作

  • admin.system.roles.roles

roles数组包含角色文档,这些角色文档指定了该角色从中继承权限的角色。

角色文档具有以下语法:

复制

  { role: "<role name>", db: "<database>" }

角色文档具有以下字段:

admin.system.roles.roles[n].role

角色名称。角色可以是 MongoDB 提供的内置角色,也可以是用户定义的角色

admin.system.roles.roles[n].db`

定义角色的数据库的名称。

案例

考虑以下在admin 数据库的 system.roles 中发现的示例文档

用户自定义的角色指定权限

以下是为 myApp 数据库定义的自定义用户 appUser 的示例文档

复制

{
  _id: "myApp.appUser",
  role: "appUser",
  db: "myApp",
  privileges: [
       { resource: { db: "myApp" , collection: "" },
         actions: [ "find", "createCollection", "dbStats", "collStats" ] },
       { resource: { db: "myApp", collection: "logs" },
         actions: [ "insert" ] },
       { resource: { db: "myApp", collection: "data" },
         actions: [ "insert", "update", "remove", "compact" ] },
       { resource: { db: "myApp", collection: "system.js" },
         actions: [ "find" ] },
  ],
  roles: []
}

privileges数组列出了appUser角色指定的五个权限

  • 第一个权限允许对 myApp 数据库中除 system 集合以外所有集合执行("find","createCollection","dbStats","collStats"`) 操作, 详见 将数据库指定为操作资源.

  • 后面的两个权限允许对 myApp 数据库中指定的集合 logs 和 data 上执行额外的操作,详见 指定数据库中的集合作为操作资源.

  • 最后一个权限允许在 myApp 数据库的 system 集合 上操作。虽然第一个权限为查找操作授予了数据库范围,但是不能在 myApp 数据库的 system 集合上操作。为了授予访问 system 集合的权限,权限必须显示指定需要操作的集合。详见操作资源文档.

空的roles数组指定 appUser 没有从其他角色继承权限。

用户自定义的角色继承其他角色权限

以下示例文档为 myApp 数据库定义了用户自定义角色 appAdmin :文档显示 appAdmin 角色指定了权限,也从其他角色继承了权限。

复制

{
  _id: "myApp.appAdmin",
  role: "appAdmin",
  db: "myApp",
  privileges: [
      {
         resource: { db: "myApp", collection: "" },
         actions: [ "insert", "dbStats", "collStats", "compact" ]
      }
  ],
  roles: [
      { role: "appUser", db: "myApp" }
  ]
}

privileges 数组列举了 appAdmin 角色指定的权限,这个角色有一个权限,允许在除 system 集合外的所有集合上执行 ( "insert", "dbStats", "collStats", "compact")操作。详见执行数据库作为操作资源.

roles数组列出了由角色名称和数据库标识的角色,角色 appAdmin 从中继承权限。

原文链接:https://docs.mongodb.com/manual/reference/system-roles-collection/

译者:谢伟成

上一页安全参考下一页system.users集合

最后更新于