|
MongoDB memberikan akses ke data dan perintah melalui otorisasi berbasis peran dan menyediakan peran bawaan yang menyediakan berbagai tingkat akses yang umum dibutuhkan dalam sistem basis data. Anda juga dapat membuat peran yang ditentukan pengguna. Peran memberikan hak istimewa untuk melakukan serangkaian tindakan pada sumber daya yang ditentukan. Peran yang diberikan berlaku untuk database tempat peran tersebut ditentukan dan dapat memberikan akses ke tingkat koleksi granularitas. Setiap peran bawaan MongoDB mendefinisikan akses di tingkat database untuk semua koleksi non-sistem dalam database peran dan di tingkat koleksi untuk semua koleksi sistem. MongoDB menyediakan peran pengguna database dan administrasi database bawaan di setiap database. MongoDB menyediakan semua peran bawaan lainnya hanya pada database admin. Bagian ini menjelaskan hak istimewa untuk setiap peran bawaan. Anda juga dapat melihat hak istimewa untuk peran bawaan kapan saja dengan mengeluarkan perintah rolesInfo dengan bidang showPrivileges dan showBuiltinRoles, keduanya diatur ke true. Peran Pengguna DatabaseSetiap database menyertakan peran klien berikut: BacaMenyediakan kemampuan untuk membaca data pada semua koleksi non-sistem dan pada koleksi sistem berikut:koleksi system.indexes, system.js, dan system.namespaces. Peran ini menyediakan akses baca dengan memberikan tindakan berikut: - collStatistik
- dbHash
- dbStatistik
- temukan
- membunuhKursor
- listIndexes
- daftarKoleksi
bacaTulisMenyediakan semua hak istimewa peran baca ditambah kemampuan untuk memodifikasi data pada semua koleksi non-sistem dan koleksi system.js. Peran ini menyediakan tindakan berikut pada koleksi tersebut: - collStatistik
- konverToTerbatas
- createCollection
- dbHash
- dbStatistik
- dropKoleksi
- createIndex
- dropIndex
- kosong
- temukan
- Masukkan
- membunuhKursor
- listIndexes
- daftarKoleksi
- Hapus
- renameCollectionSameDB
- memperbarui
Peran Administrasi DatabaseSetiap database menyertakan peran administrasi database berikut: dbAdminMenyediakan tindakan berikut pada koleksi system.indexes, system.namespaces, dan system.profile database: - collStatistik
- dbHash
- dbStatistik
- temukan
- membunuhKursor
- listIndexes
- daftarKoleksi
- dropCollection dan createCollection hanya di system.profile
Diubah pada versi 2.6.4: dbAdmin menambahkan createCollection untuk system.profilecollection. Versi sebelumnya hanya memiliki dropCollection pada koleksi system.profile.
Menyediakan tindakan berikut pada semua koleksi non-sistem. Peran ini tidak menyertakan akses baca penuh pada koleksi non-sistem: - bypassDocumentValidation
- collMod
- collStatistik
- kompak
- konverToTerbatas
- createCollection
- createIndex
- dbStatistik
- dropKoleksi
- dropDatabase
- dropIndex
- enableProfiler
- Indeks ulang
- renameCollectionSameDB
- perbaikiDatabase
- penyimpananRincian
- Validasi
dbPemilikPemilik database dapat melakukan tindakan administratif apa pun pada database. Peran ini menggabungkan hak istimewa yang diberikan oleh peran readWrite, dbAdmin, dan userAdmin. userAdminMenyediakan kemampuan untuk membuat dan memodifikasi peran dan pengguna pada database saat ini. Peran ini juga secara tidak langsung memberikan akses superuser ke database atau, jika dicakup ke database admin, kluster. Peran userAdmin memungkinkan pengguna untuk memberikan hak istimewa kepada pengguna mana pun, termasuk diri mereka sendiri. Peran userAdmin secara eksplisit menyediakan tindakan berikut: - ubahData Kustom
- ubahKata Sandi
- createRole
- createUser
- dropRole
- dropUser
- hibahPeran
- revokeRole
- lihatPeran
- viewUser
Peran Administrasi KlusterDatabase admin mencakup peran berikut untuk mengelola seluruh sistem, bukan hanya satu database. Peran ini mencakup, tetapi tidak terbatas pada, set replika dan fungsi administratif kluster shard. clusterAdminMenyediakan akses manajemen kluster terbesar. Peran ini menggabungkan hak istimewa yang diberikan olehclusterManager, clusterMonitor, dan peran hostManager. Selain itu, peran tersebut menyediakan tindakan dropDatabase. clusterManagerMenyediakan tindakan manajemen dan pemantauan pada kluster. Pengguna dengan peran ini dapat mengakses config dan database lokal, yang masing-masing digunakan dalam sharding dan replikasi. Menyediakan tindakan berikut pada kluster secara keseluruhan: - addShard
- applicationMessage
- bersih-bersihMenjadi yatim piatu
- flushRouterConfig
- daftarPecahan
- menghapusPecahan
- replSetKonfigurasi
- replSetGetConfig
- replSetGetStatus
- replSetStateChange
- Sinkronisasi ulang
Menyediakan tindakan berikut pada semua database dalam kluster: - mengaktifkanSharding
- pindahChunk
- splitChunk
- splitVector
Pada database konfigurasi, menyediakan tindakan berikut pada kumpulan pengaturan: Pada database konfigurasi, menyediakan tindakan berikut pada semua koleksi konfigurasi dan pada koleksi system.indexes, system.js, dan system.namespaces: - collStatistik
- dbHash
- dbStatistik
- temukan
- membunuhKursor
Pada database lokal, menyediakan tindakan berikut pada koleksi replset: - collStatistik
- dbHash
- dbStatistik
- temukan
- membunuhKursor
clusterMonitorMenyediakan akses baca-saja ke alat pemantauan, seperti MongoDB Cloud Manager dan agen pemantauan Ops Manager. Menyediakan tindakan berikut pada kluster secara keseluruhan: - Statistik connPoolStats
- kursorInfo
- getCmdLineOpts
- mendapatkanLog
- getParameter
- getShardMap
- Info tuan rumah
- Inprog
- listDatabases
- daftarPecahan
- netstat
- replSetGetStatus
- replSetGetConfig
- Status server
- Status Sharding
- atas
Menyediakan tindakan berikut pada semua database dalam kluster: - collStatistik
- dbStatistik
- getShardVersion
- indeksStatistik
Menyediakan tindakan temukan pada semua koleksi system.profile di kluster. Menyediakan tindakan berikut pada kumpulan konfigurasi database konfigurasi dan koleksi system.indexes, system.js, dan system.namespaces: - collStatistik
- dbHash
- dbStatistik
- temukan
- membunuhKursor
hostManagerMenyediakan kemampuan untuk memantau dan mengelola server. Menyediakan tindakan berikut pada kluster secara keseluruhan: - applicationMessage
- closeAllDatabases
- connPoolSync
- cpuProfiler
- diagLogging
- flushRouterConfig
- fsync
- invalidateUserCache
- Pembunuhan
- logPutar
- Sinkronisasi ulang
- setParameter
- Matikan
- Sentuh
- buka kunci
Menyediakan tindakan berikut pada semua database dalam kluster: - membunuhKursor
- perbaikiDatabase
Peran Pencadangan dan PemulihanDatabase admin mencakup peran berikut untuk mencadangkan dan memulihkan data: CadanganMemberikan hak istimewa minimal yang diperlukan untuk mencadangkan data. Peran ini memberikan hak istimewa yang memadai untuk menggunakan agen pencadangan MongoDB Cloud Manager, agen pencadangan Ops Manager, atau untuk menggunakan mongodump untuk mencadangkan seluruh instans mongod. Menyediakan tindakan sisipkan dan pembaruan pada koleksi mms.backup di database admin dan pada koleksi pengaturan dalam database konfigurasi. Menyediakan tindakan listDatabases pada kluster secara keseluruhan. Menyediakan tindakan listCollections di semua database. Menyediakan tindakan listIndexes untuk semua koleksi. Menyediakan tindakan bypassDocumentValidation untuk koleksi yang memiliki validasi dokumen. Menyediakan tindakan temukan pada hal berikut: - semua koleksi non-sistem dalam kluster
- Semua kumpulan sistem berikut dalam kluster: system.indexes, system.namespaces, dan system.js
- Koleksi admin.system.users dan admin.system.roles
- koleksi config.settings
- koleksi system.users lama dari versi MongoDB sebelum 2.6
Diubah dalam versi 3.2.1: Peran cadangan memberikan hak istimewa tambahan untuk mencadangkan koleksi sistem.profil yang ada saat berjalan dengan pembuatan profil database. Sebelumnya, pengguna memerlukan akses baca tambahan pada koleksi ini.
memulihkanMemberikan hak istimewa yang diperlukan untuk memulihkan data dari cadangan yang tidak menyertakan data system.profilecollection. Peran ini cukup saat memulihkan data dengan mongorestore tanpa opsi --oplogReplay. Jika data cadangan menyertakan data pengumpulan system.profile dan database target tidak berisi koleksi system.profile, mongorestore mencoba membuat koleksi meskipun Program ini tidak benar-benar memulihkan dokumen System.Profile. Dengan demikian, pengguna memerlukan hak istimewa tambahan untuk melakukan tindakan createCollection dan convertToCapped pada koleksi system.profile untuk database. Peran bawaan dbAdmin dan dbAdminAnyDatabase memberikan hak istimewa tambahan. Jika menjalankan mongorestore dengan --oplogReplay, peran restore tidak cukup untuk memutar ulang oplog. Untuk memutar ulang oplog, buat peran yang ditentukan pengguna yang memiliki anyAction di anyResource dan berikan hanya kepada pengguna yang harus menjalankan mongorestore dengan --oplogReplay.
Menyediakan tindakan berikut pada semua koleksi non-sistem dan koleksi system.js dalam kluster; pada koleksi admin.system.users dan admin.system.roles dalam database admin; dan pada koleksi system.users lama dari versi MongoDB sebelum 2.6: - collMod
- createCollection
- createIndex
- dropKoleksi
- Masukkan
Menyediakan tindakan listCollections di semua database. Menyediakan tindakan tambahan berikut pada admin.system.users dan system.userscollections lama: Menyediakan tindakan temukan pada semua koleksi system.namespaces di kluster. Meskipun, restore menyertakan kemampuan untuk memodifikasi dokumen di admin.system.userscollection menggunakan operasi modifikasi normal, hanya memodifikasi data ini menggunakan manajemen pengguna metode.
Peran Semua DatabaseDatabase admin menyediakan peran berikut yang berlaku untuk semua database dalam instance mongod dan kira-kira setara dengan setara database tunggal mereka: readAnyDatabaseMenyediakan izin baca-saja yang sama dengan baca, kecuali berlaku untuk semua database dalam kluster. Peran ini juga menyediakan tindakan listDatabases pada kluster secara keseluruhan. readWriteAnyDatabaseMenyediakan izin baca dan tulis yang sama dengan readWrite, kecuali berlaku untuk semua database dalam kluster. Peran ini juga menyediakan tindakan listDatabases pada kluster secara keseluruhan. userAdminAnyDatabaseMenyediakan akses yang sama ke operasi administrasi pengguna seperti userAdmin, kecuali berlaku untuk semua database di kluster. Peran ini juga menyediakan tindakan berikut pada kluster secara keseluruhan: - authSchemaUpgrade
- invalidateUserCache
- listDatabases
Peran ini juga menyediakan tindakan berikut pada koleksi admin.system.users dan admin.system.roles pada database admin, dan pada system.userscollections lama dari versi MongoDB sebelum 2.6: - collStatistik
- dbHash
- dbStatistik
- temukan
- membunuhKursor
- planCacheBaca
Diubah dalam versi 2.6.4: userAdminAnyDatabase menambahkan izin berikut pada koleksi admin.system.users dan admin.system.roles:
Peran userAdminAnyDatabase tidak membatasi izin yang dapat diberikan pengguna. Akibatnya, pengguna userAdminAnyDatabase dapat memberi diri mereka hak istimewa yang melebihi hak istimewa mereka saat ini dan bahkan dapat memberikan diri mereka sendiri semua hak istimewa, meskipun peran tersebut tidak secara eksplisit mengotorisasi hak istimewa di luar administrasi pengguna. Peran ini secara efektif merupakan superuser sistem MongoDB. dbAdminAnyDatabaseMenyediakan akses yang sama ke operasi administrasi database seperti dbAdmin, kecuali berlaku untuk semua database di kluster. Peran ini juga menyediakan tindakan listDatabases pada kluster secara keseluruhan.
Peran SuperuserBeberapa peran menyediakan akses superuser di seluruh sistem secara tidak langsung atau langsung. Peran berikut memberikan kemampuan untuk menetapkan hak istimewa apa pun kepada pengguna apa pun pada database apa pun, yang berarti bahwa pengguna dengan salah satu peran ini dapat menetapkan hak istimewa apa pun pada database apa pun: - dbOwner, saat dicakupan ke database admin
- userAdmin, saat dicakupan ke database admin
- userAdminAnyDatabase peran
Peran berikut memberikan hak istimewa penuh pada semua sumber daya: akarMenyediakan akses ke operasi dan semua sumber daya readWriteAnyDatabase, dbAdminAnyDatabase, userAdminAnyDatabase, clusterAdmin roles, restore combined. Diubah dalam versi 3.0.7: Akar telah memvalidasi tindakan pada sistem. koleksi. Sebelumnya, roottidak menyertakan akses apa pun ke koleksi yang dimulai dengan sistem. awalan selain system.indexes dan system.namespaces. Peran root mencakup hak istimewa dari peran pemulihan.
Peran Internal__systemMongoDB menetapkan peran ini ke objek pengguna yang mewakili anggota kluster, seperti anggota set replika dan instans mongos. Peran tersebut memberi hak kepada pemegangnya untuk mengambil tindakan apa pun terhadap objek apa pun dalam database. Jangan tetapkan peran ini ke objek pengguna yang mewakili aplikasi atau administrator manusia, selain dalam keadaan luar biasa. Jika Anda memerlukan akses ke semua tindakan pada semua sumber daya, misalnya untuk menjalankan perintah applyOps, jangan tetapkan peran ini. Sebagai gantinya, buat peran yang ditentukan pengguna yang memberikan anyAction di anyResource dan pastikan bahwa hanya pengguna yang memerlukan akses ke operasi ini yang memiliki akses ini. Asli: https://docs.mongodb.com/manual/reference/built-in-roles/#built-in-roles
| 
Diposting pada 09/10/2016 17.04.10
|
|
|
Tuan tanah|
Diposting pada 09/10/2016 17.33.26
|
