Šis raksts ir mašīntulkošanas spoguļraksts, lūdzu, noklikšķiniet šeit, lai pārietu uz oriģinālo rakstu.

Architect_Programmer_Code Lauksaimniecības tīkls»Arhitekts Datu bāze un datu bāze MongoDB MongoDB atļauju lomu tabula
Skats: 7537|Atbildi: 1

MongoDB atļauju lomu tabula

[Kopēt saiti]
Publicēts 09.10.2016 17:04:10 | | |
MongoDB piešķir piekļuvi datiem un komandām, izmantojot lomu autorizāciju, un nodrošina iebūvētas lomas, kas nodrošina dažādus piekļuves līmeņus, kas parasti nepieciešami datu bāzes sistēmā. Varat papildus izveidot lietotāja definētas lomas.
Loma piešķir atļaujas veikt darbību kopas ar definētiem resursiem. Noteikta loma attiecas uz datu bāzi, kurā tā ir definēta, un var piešķirt piekļuvi līdz pat kolekcijas detalizācijas līmenim.
Katra no MongoDB iebūvētajām lomām definē piekļuvi datu bāzes līmenī visām ne-sistēmas kolekcijām lomas datu bāzē un kolekcijas līmenī visām sistēmas kolekcijām.
MongoDB nodrošina iebūvētās datu bāzes lietotāju un datu bāzes administrēšanas lomas katrā datu bāzē. MongoDB nodrošina visas pārējās iebūvētās lomas tikai administratora datu bāzē.
Šajā sadaļā ir aprakstītas katras iebūvētās lomas privilēģijas. Varat arī jebkurā brīdī skatīt iebūvētās lomas privilēģijas, izdodot komandu rolesInfo ar iestatītiem laukiem showPrivileges un showBuiltinRoles.
Datu bāzes lietotāju lomas
Katrā datu bāzē ir šādas klientu lomas:
lasīt
Nodrošina iespēju lasīt datus par visām kolekcijām, kas nav sistēmas, un par šādām sistēmu kolekcijām:system.indexes, system.js un system.namespaces kolekcijas. Šī loma nodrošina lasīšanas piekļuvi, piešķirot šādas darbības:
  • collStats
  • dbHash
  • dbStatistika
  • atrast
  • killCursors
  • listIndexes
  • sarakstsKolekcijas
lasītRakstīt
Nodrošina visas lasīšanas lomas privilēģijas, kā arī iespēju modificēt datus visās kolekcijās, kas nav sistēmas, un system.js kolekcijā. Šī loma nodrošina šādas darbības šajās kolekcijās:
  • collStats
  • convertToCapped
  • izveidot kolekciju
  • dbHash
  • dbStatistika
  • DropCollection
  • izveidot indeksu
  • dropIndex
  • tukšs vāciņš
  • atrast
  • ievietot
  • killCursors
  • listIndexes
  • sarakstsKolekcijas
  • noņemt
  • pārdēvēt kolekcijuSameDB
  • Atjaunināt

Datu bāzes administrēšanas lomas
Katrā datu bāzē ir šādas datu bāzes administrēšanas lomas:
dbAdmin
Nodrošina šādas darbības datu bāzes kolekcijās system.indexes, system.namespaces un system.profile:
  • collStats
  • dbHash
  • dbStatistika
  • atrast
  • killCursors
  • listIndexes
  • sarakstsKolekcijas
  • dropCollection un createCollection tikai system.profile
Mainīts versijā 2.6.4: dbAdmin pievienoja createCollection sistēmai.profilecollection. Iepriekšējās versijās dropCollection bija tikai kolekcijā system.profile.

Nodrošina tālāk norādītās darbības visās kolekcijās, kas nav sistēmas. Šī loma neietver pilnu lasīšanas piekļuvi kolekcijām, kas nav sistēmas:
  • bypassDocumentValidation
  • collMod
  • collStats
  • kompakts
  • convertToCapped
  • izveidot kolekciju
  • izveidot indeksu
  • dbStatistika
  • DropCollection
  • dropDatabase
  • dropIndex
  • enableProfiler
  • pārindekss
  • pārdēvēt kolekcijuSameDB
  • remontsDatu bāze
  • krātuveDetalizēta informācija
  • Apstiprināt
dbĪpašnieks
Datu bāzes īpašnieks var veikt jebkuru administratīvo darbību ar datu bāzi. Šī loma apvieno privilēģijas, ko piešķir lomas readWrite, dbAdmin un userAdmin.
lietotājsAdministrators
Nodrošina iespēju izveidot un modificēt lomas un lietotājus pašreizējā datu bāzē. Šī loma arī netieši nodrošina superlietotāja piekļuvi datu bāzei vai, ja tā ir administratora datu bāze, klasterim. TheuserAdmin loma ļauj lietotājiem piešķirt jebkuram lietotājam jebkādas privilēģijas, ieskaitot sevi.
Loma userAdmin skaidri nodrošina šādas darbības:
  • mainītCustomData
  • mainīt paroli
  • createRole
  • izveidot lietotāju
  • dropRole
  • dropUser
  • grantLoma
  • atsaukt lomu
  • skatīt lomu
  • skatīt lietotāju

Klastera administrēšanas lomas
Administratora datu bāzē ir iekļautas šādas lomas visas sistēmas administrēšanai, nevis tikai vienai datu bāzei. Šīs lomas ietver, bet neaprobežojas ar repliku kopu un sadalītu klasteru administratīvajām funkcijām.
clusterAdmin
Nodrošina vislielāko klasteru pārvaldības piekļuvi. Šī loma apvieno privilēģijas, ko piešķir lomas clusterManager, clusterMonitor un hostManager. Turklāt loma nodrošinadropDatabase darbību.
klastera pārvaldnieks
Nodrošina klastera pārvaldības un uzraudzības darbības. Lietotājs ar šo lomu var piekļūt konfigurācijas un lokālajām datu bāzēm, kas tiek izmantotas attiecīgi sadalīšanai un replicēšanai.
Nodrošina šādas darbības klasterī kopumā:
  • pievienot Shard
  • applicationMessage
  • cleanupOrphaned
  • flushRouterConfig
  • sarakstsŠķembas
  • noņemt Shard
  • replSetConfigure
  • replSetGetConfig
  • replSetGetStatus
  • replSetStateChange
  • Atkārtota sinhronizācija
Nodrošina šādas darbības visās klastera datu bāzēs:
  • iespējot sadalīšanu
  • pārvietot gabalu
  • sadalīt gabalu
  • sadalīts vektors
Konfigurācijas datu bāzē iestatījumu kolekcijā tiek veiktas šādas darbības:
  • ievietot
  • noņemt
  • Atjaunināt
Konfigurācijas datu bāzē nodrošina šādas darbības visās konfigurācijas kolekcijās un system.indexes, system.js un system.namespaces kolekcijās:
  • collStats
  • dbHash
  • dbStatistika
  • atrast
  • killCursors
Lokālajā datu bāzē nodrošina šādas darbības replset kolekcijā:
  • collStats
  • dbHash
  • dbStatistika
  • atrast
  • killCursors
clusterMonitor
Nodrošina tikai lasīšanas piekļuvi uzraudzības rīkiem, piemēram, MongoDB Cloud Manager un Ops Manager uzraudzības aģentam.
Nodrošina šādas darbības klasterī kopumā:
  • connPoolStats
  • kursorsInformācija
  • getCmdLineOpts
  • getLog
  • getParameter
  • getShardMap
  • hostInfo
  • inprog
  • sarakstsDatu bāzes
  • sarakstsŠķembas
  • netstat
  • replSetGetStatus
  • replSetGetConfig
  • servera statuss
  • shardingState
  • uz augšu
Nodrošina šādas darbības visās klastera datu bāzēs:
  • collStats
  • dbStatistika
  • getShardVersion
  • indexStats
Nodrošina atrašanas darbību visās klastera system.profile kolekcijās.
Nodrošina šādas darbības konfigurācijas datu bāzes konfigurācijas kolekcijās unsystem.indexes, system.js un system.namespaces kolekcijās:
  • collStats
  • dbHash
  • dbStatistika
  • atrast
  • killCursors
hostManager
Nodrošina iespēju uzraudzīt un pārvaldīt serverus.
Nodrošina šādas darbības klasterī kopumā:
  • applicationMessage
  • closeAllDatabases
  • connPoolSync
  • cpuProfiler
  • diagLogging
  • flushRouterConfig
  • fsync
  • invalidateUserCache
  • Killops
  • logRotate
  • Atkārtota sinhronizācija
  • setParameter
  • Izslēgšana
  • Pieskāriens
  • Atbloķēt
Nodrošina šādas darbības visās klastera datu bāzēs:
  • killCursors
  • remontsDatu bāze

Dublēšanas un atjaunošanas lomas
Administratora datu bāzē ir šādas lomas datu dublēšanai un atjaunošanai:
Dublēšana
Nodrošina minimālas privilēģijas, kas nepieciešamas datu dublēšanai. Šī loma nodrošina pietiekamas privilēģijas, lai izmantotMongoDB Cloud Manager dublējuma aģentu, Ops Manager dublējuma aģentu vai izmantotu mongodump, lai dublētu visu mongod instanci.
Nodrošina ievietošanas un atjaunināšanas darbības mms.backup kolekcijā administratora datu bāzē un iestatījumu kolekcijā konfigurācijas datu bāzē.
Nodrošina darbību listDatabases klasterī kopumā.
Nodrošina darbību listCollections visās datu bāzēs.
Nodrošina darbību listIndexes visām kolekcijām.
Nodrošina darbību bypassDocumentValidation kolekcijām, kurām ir dokumentu validācija.
Nodrošina atrašanas darbību šādos jautājumos:
  • Visas klastera kolekcijas, kas nav sistēmas
  • Visas tālāk norādītās klastera sistēmu kolekcijas: System.Indexes, System.Namespaces un system.js
  • Kolekcijas admin.system.users un admin.system.roles
  • konfigurācijas.iestatījumu kolekcija
  • mantotās system.users kolekcijas no MongoDB versijām pirms 2.6
Mainīts versijā 3.2.1: dublēšanas loma nodrošina papildu atļaujas, lai dublētu sistēmas.profila kolekcijas, kas pastāv, darbojoties ar datu bāzes profilēšanu. Iepriekš lietotājiem bija nepieciešama papildu lasīšanas piekļuve šai kolekcijai.

Atjaunot
Nodrošina atļaujas, kas nepieciešamas, lai atjaunotu datus no dublējumiem, kuros nav iekļauti system.profilecollection dati. Šī loma ir pietiekama, atjaunojot datus ar mongorestore bez opcijas --oplogReplay.
  • Ja dublējuma dati ietver system.profile kolekcijas datus un mērķa datu bāzē nav system.profile kolekcijas, mongorestore mēģina izveidot kolekciju, lai gan Programma faktiski neatjauno System.Profile dokumentus. Tādējādi lietotājam ir nepieciešamas papildu atļaujas, lai veiktu createCollection un convertToCapped darbības datu bāzes system.profile kolekcijā.
    Iebūvētās lomas dbAdmin un dbAdminAnyDatabase nodrošina papildu privilēģijas.
  • Ja palaižat mongorestore ar --oplogReplay, atjaunošanas loma nav pietiekama, lai atskaņotu oplogu. Lai atskaņotu oplogu, izveidojiet lietotāja definētu lomu, kurai ir anyAction anyResource un piešķiriet tikai tiem lietotājiem, kuriem ir jāpalaiž mongorestore ar --oplogReplay.

Nodrošina šādas darbības visās klastera kolekcijās, kas nav sistēmas, un system.js kolekcijām; administratoru datu bāzes kolekcijās admin.system.users un admin.system.roles; un mantotajās system.users kolekcijās no MongoDB versijām pirms 2.6:
  • collMod
  • izveidot kolekciju
  • izveidot indeksu
  • DropCollection
  • ievietot
Nodrošina darbību listCollections visās datu bāzēs.
Nodrošina šādas papildu darbības admin.system.users un mantotajās system.userscollections:
  • atrast
  • noņemt
  • Atjaunināt
Nodrošina atrašanas darbību visās klastera system.namespaces kolekcijās.
Lai gan atjaunošana ietver iespēju modificēt dokumentus admin.system.userscollection, izmantojot parastās modifikācijas darbības, modificējiet šos datus tikai, izmantojot lietotāju pārvaldību metodes.

Visas datu bāzes lomas
Administratora datu bāze nodrošina šādas lomas, kas attiecas uz visām datu bāzēm mongod instancē un ir aptuveni līdzvērtīgas to vienas datu bāzes ekvivalentiem:
lasītJebkura datu bāze
Nodrošina tādas pašas tikai lasīšanas atļaujas kā lasīšanai, izņemot gadījumus, kad tas attiecas uz visām klastera datu bāzēm. Šī loma nodrošina arī darbību listDatabases klasterī kopumā.
lasītWriteAnyDatabase
Nodrošina tādas pašas lasīšanas un rakstīšanas atļaujas kā readWrite, izņemot gadījumus, kad tas attiecas uz visām klastera datu bāzēm. Šī loma nodrošina arī darbību listDatabases klasterī kopumā.
userAdminAnyDatabase
Nodrošina tādu pašu piekļuvi lietotāju administrēšanas operācijām kā userAdmin, izņemot to, ka tas attiecas uz visām klastera datu bāzēm. Šī loma paredz arī šādas darbības attiecībā uz kopu kopumā:
  • authSchemaUpgrade
  • invalidateUserCache
  • sarakstsDatu bāzes
Šī loma nodrošina arī tālāk norādītās darbības administratora datu bāzes kolekcijās admin.system.users un admin.system.roles un mantotajās system.userscollections no versijām MongoDB pirms 2.6:
  • collStats
  • dbHash
  • dbStatistika
  • atrast
  • killCursors
  • planCacheRead
Mainīts versijā 2.6.4: userAdminAnyDatabase pievienoja šādas atļaujas kolekcijām admin.system.users un admin.system.roles:
  • izveidot indeksu
  • dropIndex

Loma userAdminAnyDatabase neierobežo atļaujas, ko lietotājs var piešķirt. Tā rezultātā userAdminAnyDatabase lietotāji var piešķirt sev privilēģijas, kas pārsniedz viņu pašreizējās privilēģijas, un pat var piešķirt sev visas privilēģijas, pat ja loma to nedara Skaidri autorizējiet privilēģijas, kas nav saistītas ar lietotāju administrēšanu. Šī loma faktiski ir MongoDB sistēmas superlietotājs.
dbAdminAnyDatabase
Nodrošina tādu pašu piekļuvi datu bāzes administrēšanas operācijām kā dbAdmin, izņemot to, ka tas attiecas uz visām klastera datu bāzēm. Šī loma nodrošina arī darbību listDatabases klasterī kopumā.

Superlietotāju lomas
Vairākas lomas nodrošina netiešu vai tiešu sistēmas mēroga superlietotāja piekļuvi.
Tālāk norādītās lomas nodrošina iespēju jebkuram lietotājam piešķirt jebkādas atļaujas jebkurā datu bāzē, kas nozīmē, ka lietotāji ar kādu no šīm lomām var piešķirt sev jebkuru privilēģiju jebkurā datu bāzē:
  • dbOwner loma, ja tā ir attiecināta uz administratora datu bāzi
  • userAdmin loma, ja tā ir tvērusi administratora datu bāzi
  • userAdminAnyDatabase loma
Tālāk norādītā loma nodrošina pilnas privilēģijas visiem resursiem:
sakne
Nodrošina piekļuvi operācijām un visiem resursiem readWriteAnyDatabase,dbAdminAnyDatabase, userAdminAnyDatabase, clusterAdmin lomas, atjaunot kopā.
Mainīts versijā 3.0.7: saknei ir apstiprināta darbība sistēmā. kolekcijas. Agrāk sakne neietver piekļuvi kolekcijām, kas sākas ar sistēmu. prefikss, kas nav system.indexes un system.namespaces.
Saknes loma ietver atjaunošanas lomas privilēģijas.


Iekšējā loma__system
MongoDB piešķir šo lomu lietotāju objektiem, kas pārstāv klastera dalībniekus, piemēram, repliku kopas dalībniekiem un mongos instancēm. Šī loma dod tiesības tās turētājam veikt jebkādas darbības pret jebkuru datu bāzes objektu.
Nepiešķiriet šo lomu lietotāju objektiem, kas pārstāv lietojumprogrammas vai cilvēka administratorus, izņemot izņēmuma gadījumus.
Ja jums ir nepieciešama piekļuve visām darbībām visos resursos, piemēram, lai izpildītu applyOps komandas, nepiešķiriet šo lomu. Tā vietā izveidojiet lietotāja definētu lomu, kas piešķir anyAction anyResource un nodrošiniet, ka šī piekļuve ir tikai tiem lietotājiem, kuriem nepieciešama piekļuve šīm operācijām.
Oriģināls: https://docs.mongodb.com/manual/reference/built-in-roles/#built-in-roles






Iepriekšējo:C# atspulgs iegūst objekta rekvizīta parādāmo nosaukumu
Nākamo:Izveidojiet kontu un paroli, lai pieteiktos MongoDb

Saistītās ziņas
 Saimnieks| Publicēts 09.10.2016 17:33:26 |
Izveidojiet kontu un paroli, lai pieteiktos MongoDb
http://www.itsvse.com/thread-3221-1-1.html
(Avots: Code Agriculture Network)
Atruna:
Visa programmatūra, programmēšanas materiāli vai raksti, ko publicē Code Farmer Network, ir paredzēti tikai mācību un pētniecības mērķiem; Iepriekš minēto saturu nedrīkst izmantot komerciāliem vai nelikumīgiem mērķiem, pretējā gadījumā lietotājiem ir jāuzņemas visas sekas. Informācija šajā vietnē nāk no interneta, un autortiesību strīdiem nav nekāda sakara ar šo vietni. Iepriekš minētais saturs ir pilnībā jāizdzēš no datora 24 stundu laikā pēc lejupielādes. Ja jums patīk programma, lūdzu, atbalstiet oriģinālu programmatūru, iegādājieties reģistrāciju un iegūstiet labākus oriģinālus pakalpojumus. Ja ir kādi pārkāpumi, lūdzu, sazinieties ar mums pa e-pastu.
Mail To:help@itsvse.com