Tento článok je zrkadlovým článkom o strojovom preklade, kliknite sem pre prechod na pôvodný článok.

Architect_Programmer_Code Poľnohospodárska sieť»Architekt Databáza & Databáza MongoDB Tabuľka rolí povolení MongoDB
Pohľad: 7537|Odpoveď: 1

Tabuľka rolí povolení MongoDB

[Kopírovať odkaz]
Zverejnené 9. 10. 2016 17:04:10 | | |
MongoDB poskytuje prístup k dátam a príkazom prostredníctvom autorizácie založenej na rolách a poskytuje zabudované roly, ktoré poskytujú rôzne úrovne prístupu bežne potrebné v databázovom systéme. Môžete tiež vytvárať roly definované používateľom.
Rola udeľuje oprávnenia vykonávať sady akcií na definovaných zdrojoch. Určitá rola sa vzťahuje na databázu, v ktorej je definovaná, a môže umožniť prístup až do úrovne granularity kolekcie.
Každá z vstavaných rolí MongoDB definuje prístup na úrovni databázy pre všetky nesystémové kolekcie v databáze roly a na úrovni kolekcie pre všetky systémové kolekcie.
MongoDB poskytuje vstavané úlohy používateľa databázy a správy databáz v každej databáze. MongoDB poskytuje všetky ostatné zabudované roly iba v administrátorskej databáze.
Táto sekcia popisuje oprávnenia pre každú zabudovanú rolu. Oprávnenia pre zabudovanú rolu si môžete kedykoľvek pozrieť zadaním príkazu rolesInfo s nastaveniami showPrivileges a showBuiltinRolesfields na true.
Úlohy používateľov databázy
Každá databáza obsahuje nasledujúce úlohy klientov:
čítať
Poskytuje schopnosť čítať údaje zo všetkých nesystémových kolekcií a z nasledujúcich systémových kolekcií: system.indexes, system.js a system.namespaces. Rola poskytuje prístup na čítanie tým, že udeľuje nasledujúce akcie:
  • collStats
  • dbHash
  • dbStats
  • nájdi
  • killCursors
  • listIndexes
  • zoznamZbierky
readWrite
Poskytuje všetky oprávnenia roly čítania plus možnosť meniť dáta vo všetkých nesystémových kolekciách a system.js kolekcii. Táto pozícia poskytuje nasledujúce činnosti týkajúce sa týchto zbierok:
  • collStats
  • konvertovanýToCaped
  • createCollection
  • dbHash
  • dbStats
  • dropCollection
  • createIndex
  • dropIndex
  • prázdna čiapka
  • nájdi
  • Vložiť
  • killCursors
  • listIndexes
  • zoznamZbierky
  • odstrániť
  • renameCollectionSameDB
  • Aktualizácia

Úlohy správy databáz
Každá databáza zahŕňa nasledujúce úlohy správy databázy:
dbAdmin
Poskytuje nasledujúce akcie na kolekciách system.indexes, system.namespaces a system.profile databázy:
  • collStats
  • dbHash
  • dbStats
  • nájdi
  • killCursors
  • listIndexes
  • zoznamZbierky
  • dropCollection a createCollection len na system.profile
Zmenené vo verzii 2.6.4: dbAdmin pridal createCollection pre system.profilecollection. Predchádzajúce verzie mali len dropCollection v kolekcii system.profile.

Poskytuje nasledujúce akcie pre všetky nesystémové kolekcie. Táto úloha nezahŕňa plný read access na nesystémových kolekciách:
  • bypassDocumentValidation
  • collMod
  • collStats
  • Compact
  • konvertovanýToCaped
  • createCollection
  • createIndex
  • dbStats
  • dropCollection
  • dropDatabase
  • dropIndex
  • enableProfiler
  • reIndex
  • renameCollectionSameDB
  • repairDatabase
  • Úložisko Detaily
  • validovať
dbOwner
Vlastník databázy môže vykonať akúkoľvek administratívnu akciu na databáze. Táto rola kombinuje oprávnenia udelené rolami readWrite, dbAdmin a userAdmin.
userAdmin
Poskytuje možnosť vytvárať a upravovať roly a používateľov v aktuálnej databáze. Táto rola tiež nepriamo poskytuje superužívateľský prístup buď k databáze, alebo, ak je zameraná na administrátorskú databázu, ku klastru. Rola TheuserAdmin umožňuje používateľom udeliť akékoľvek oprávnenie, vrátane seba samého.
Rola userAdmin explicitne poskytuje nasledujúce akcie:
  • changeCustomData
  • changePassword
  • createRole
  • createUser
  • dropRole
  • dropUser
  • grantÚloha
  • revokeRole
  • viewRole
  • viewUser

Úlohy správy klastrov
Administrátorská databáza zahŕňa nasledujúce úlohy na správu celého systému, nie len jednej databázy. Tieto úlohy zahŕňajú, ale nie sú obmedzené na, administrátorské funkcie replikových súborov a rozdelených klastrov.
clusterAdmin
Poskytuje najlepší prístup k správe klastrov. Táto rola kombinuje oprávnenia udelené rolami theclusterManager, clusterMonitor a hostManager. Okrem toho rola poskytuje akciu thedropDatabase.
clusterManager
Poskytuje riadiace a monitorovacie aktivity na klastri. Používateľ s touto úlohou môže pristupovať k konfiguračným a lokálnym databázam, ktoré sa používajú na sharding a replikáciu.
Poskytuje nasledujúce akcie na celý klaster:
  • addShard
  • applicationMessage
  • upratovanie. Osirotený
  • flushRouterConfig
  • zoznamÚlomky
  • odstrániť úlomok
  • replSetConfigure
  • replSetGetConfig
  • replSetGetStatus
  • replSetStateChange
  • resync
Poskytuje nasledujúce akcie vo všetkých databázach v klastri:
  • enableSharding
  • moveChunk
  • splitChunk
  • splitVector
V konfiguračnej databáze poskytuje nasledujúce akcie v kolekcii nastavení:
  • Vložiť
  • odstrániť
  • Aktualizácia
V konfiguračnej databáze poskytuje nasledujúce akcie na všetkých konfiguračných kolekciách a na kolekciách thesystem.indexes, system.js a system.namespaces:
  • collStats
  • dbHash
  • dbStats
  • nájdi
  • killCursors
V lokálnej databáze poskytuje nasledujúce akcie na kolekcii replsetov:
  • collStats
  • dbHash
  • dbStats
  • nájdi
  • killCursors
clusterMonitor
Poskytuje prístup len na čítanie k monitorovacím nástrojom, ako sú MongoDB Cloud Manager a monitorovací agent Ops Manager.
Poskytuje nasledujúce akcie na celý klaster:
  • connPoolStats
  • cursorInfo
  • getCmdLineOpts
  • getLog
  • getParameter
  • getShardMap
  • hostInfo
  • inprog
  • zoznamDatabázy
  • zoznamÚlomky
  • netstat
  • replSetGetStatus
  • replSetGetConfig
  • serverStatus
  • shardingState
  • hore
Poskytuje nasledujúce akcie vo všetkých databázach v klastri:
  • collStats
  • dbStats
  • getShardVersion
  • indexŠtatistiky
Poskytuje akciu vyhľadávania vo všetkých kolekciách system.profile v klastri.
Poskytuje nasledujúce akcie v konfiguračných kolekciách databázy a kolekciách system.indexes, system.js a system.namespaces:
  • collStats
  • dbHash
  • dbStats
  • nájdi
  • killCursors
hostManager
Poskytuje možnosť monitorovať a spravovať servery.
Poskytuje nasledujúce akcie na celý klaster:
  • applicationMessage
  • closeAllDatabases
  • connPoolSync
  • cpuProfiler
  • DiagLogging
  • flushRouterConfig
  • fsync
  • invalidateUserCache
  • Killop
  • logRotate
  • resync
  • setParameter
  • Vypnutie
  • Dotyk
  • Odomknúť
Poskytuje nasledujúce akcie vo všetkých databázach v klastri:
  • killCursors
  • repairDatabase

Záložné a obnovovacie úlohy
Administrátorská databáza zahŕňa nasledujúce úlohy na zálohovanie a obnovu dát:
Záloha
Poskytuje minimálne oprávnenia potrebné na zálohovanie dát. Táto rola poskytuje dostatočné oprávnenia na použitie zálohovacieho agenta MongoDB Cloud Manager, agenta zálohovania Ops Manager alebo na použitie mongodump na zálohovanie celej mongod inštancie.
Poskytuje vkladanie a aktualizáciu akcií v kolekcii mms.backup v administrátorskej databáze a v kolekcii nastavení v konfiguračnej databáze.
Poskytuje akciu listDatabases pre celý klaster.
Poskytuje akciu listCollections vo všetkých databázach.
Poskytuje akciu listIndexes pre všetky kolekcie.
Poskytuje akciu bypassDocumentValidation pre kolekcie, ktoré majú validáciu dokumentov.
Poskytuje akciu hľadania v nasledujúcich oblastiach:
  • všetky nesystémové kolekcie v klastri
  • všetky nasledujúce systémové kolekcie v klastri: system.indexes, system.namespaces a system.js
  • kolekcie admin.system.users a admin.system.roles
  • kolekcia config.settings
  • staré kolekcie system.users z verzií MongoDB pred verziou 2.6
Zmenené vo verzii 3.2.1: Zálohovacia rola poskytuje dodatočné oprávnenia na zálohovanie kolekcií thesystem.profile, ktoré existujú pri behu s databázovým profilovaním. Predtým používatelia potrebovali dodatočný prístup na čítanie tejto kolekcie.

obnova
Poskytuje oprávnenia potrebné na obnovu dát zo záloh, ktoré neobsahujú dáta system.profilecollection. Táto úloha je dostatočná pri obnove dát pomocou mongorestore bez možnosti --oplogReplay.
  • Ak záložné dáta obsahujú súborové dáta system.profile a cieľová databáza neobsahuje kolekciu system.profile, mongorestore sa pokúša vytvoriť túto kolekciu, aj keď Program v skutočnosti neobnovuje dokumenty System.profile. Preto používateľ potrebuje ďalšie oprávnenia na vykonávanie akcií createCollection a ConvertToCapped v kolekcii system.profile pre databázu.
    Vstavané roly dbAdmin a dbAdminAnyDatabase poskytujú dodatočné oprávnenia.
  • Ak spustíte mongorestore s --oplogReplay, rola restore nestačí na opätovné prehranie oplogu. Na opätovné prehranie oplogu vytvorte používateľsky definovanú rolu, ktorá má anyAction na anyResource a udeľte ju len používateľom, ktorí musia spustiť mongorestore s --oplogReplay.

Poskytuje nasledujúce akcie pre všetky nesystémové kolekcie a system.js kolekcie v klastri; v kolekciách admin.system.users a admin.system.roles v administrátorskej databáze; a na starších kolekciách system.users z verzií MongoDB pred 2.6:
  • collMod
  • createCollection
  • createIndex
  • dropCollection
  • Vložiť
Poskytuje akciu listCollections vo všetkých databázach.
Poskytuje nasledujúce dodatočné akcie na admin.system.users a legacy system.userscollections:
  • nájdi
  • odstrániť
  • Aktualizácia
Poskytuje akciu vyhľadávania vo všetkých kolekciách system.namespaces v klastri.
Hoci obnova zahŕňa možnosť upravovať dokumenty v admin.system.userscollection pomocou bežných úprav, tieto údaje upravujte iba pomocou správy používateľov metódy.

Všetky databázové pozície
Administrátorská databáza poskytuje nasledujúce úlohy, ktoré sa vzťahujú na všetky databázy v mongod inštancii a sú približne ekvivalentné ich jednodatabázovým ekvivalentom:
readAnyDatabase
Poskytuje rovnaké oprávnenia len na čítanie ako na čítanie, s tým rozdielom, že sa vzťahuje na všetky databázy v klastri. Táto rola tiež poskytuje akciu listDatabases na celý klaster.
readWriteAnyDatabase
Poskytuje rovnaké oprávnenia na čítanie a zápis ako readWrite, s tým rozdielom, že sa vzťahuje na všetky databázy v klastri. Táto rola tiež poskytuje akciu listDatabases na celý klaster.
userAdminAnyDatabase
Poskytuje rovnaký prístup k prevádzkam správy používateľov ako userAdmin, s tým rozdielom, že sa vzťahuje na všetky databázy v klastri. Rola tiež poskytuje nasledujúce akcie na celý klaster:
  • authSchemaUpgrade
  • invalidateUserCache
  • zoznamDatabázy
Rola tiež poskytuje nasledujúce akcie na kolekciách admin.system.users a admin.system.roles v administrátorskej databáze a na starších system.userscollections z verzií MongoDB pred verziou 2.6:
  • collStats
  • dbHash
  • dbStats
  • nájdi
  • killCursors
  • planCacheRead
Zmenené vo verzii 2.6.4: userAdminAnyDatabase pridal nasledujúce oprávnenia na kolekcie theadmin.system.users a admin.system.roles:
  • createIndex
  • dropIndex

Rola userAdminAnyDatabase neobmedzuje oprávnenia, ktoré môže používateľ udeliť. V dôsledku toho si používatelia userAdminAnyDatabase môžu udeliť privilégiá nad rámec svojich aktuálnych privilégií a dokonca si môžu udeliť všetky privilégiá, aj keď ich rola neposkytuje explicitne autorizovať oprávnenia nad rámec správy používateľa. Táto pozícia je v podstate superpoužívateľom systému MongoDB.
dbAdminAnyDatabase
Poskytuje rovnaký prístup k administrácii databáz ako dbAdmin, s tým rozdielom, že sa vzťahuje na všetky databázy v klastri. Táto rola tiež poskytuje akciu listDatabases na celý klaster.

Superužívateľské úlohy
Niekoľko rolí poskytuje buď nepriamy, alebo priamy systémový prístup superužívateľa.
Nasledujúce roly umožňujú priradiť ľubovoľnému používateľovi akékoľvek oprávnenie v akejkoľvek databáze, čo znamená, že používatelia s jednou z týchto rolí si môžu priradiť akékoľvek oprávnenie v akejkoľvek databáze:
  • rola dbOwner, keď je zameraná na administrátorskú databázu
  • userAdmin rola, keď je zameraná na administrátorskú databázu
  • rola userAdminAnyDatabase
Nasledujúca pozícia poskytuje plné privilégiá na všetky zdroje:
koreň
Poskytuje prístup k operáciám a všetkým zdrojom rolí readWriteAnyDatabase, dbAdminAnyDatabase, userAdminAnyDatabase, clusterAdmin a obnovy dokopy.
Zmenené vo verzii 3.0.7: Root má validačnú akciu na systéme. Kolekcie. Predtým root nezahŕňal žiadny prístup k kolekciám, ktoré začínajú systémom. prefixy okrem system.indexes a system.namespaces.
Základná rola zahŕňa oprávnenia z roly obnovenia.


Vnútorná úloha__system
MongoDB priraďuje túto úlohu používateľským objektom, ktoré reprezentujú členov klastra, ako sú repliky súborov a inštancie mongos. Táto rola oprávňuje jej držiteľa vykonať akúkoľvek akciu proti akémukoľvek objektu v databáze.
Túto úlohu nepriraďujte používateľským objektom reprezentujúcim aplikácie alebo ľudských administrátorov, okrem výnimočných prípadov.
Ak potrebujete prístup ku všetkým akciám na všetkých zdrojoch, napríklad na spustenie príkazov applyOps, túto rolu nepriraďujte. Namiesto toho vytvorte používateľom definovanú rolu, ktorá udeľuje akúkoľvek akciu na anyResource a zabezpečte, že tento prístup majú len používatelia, ktorí potrebujú prístup k týmto operáciám.
Originál: https://docs.mongodb.com/manual/reference/built-in-roles/#built-in-roles






Predchádzajúci:C# reflexia získava zobrazovací názov vlastnosti objektu
Budúci:Vytvorte si účet a heslo na prihlásenie do MongoDb

Súvisiace príspevky
 Prenajímateľ| Zverejnené 9. 10. 2016 17:33:26 |
Vytvorte si účet a heslo na prihlásenie do MongoDb
http://www.itsvse.com/thread-3221-1-1.html
(Zdroj: Code Agriculture Network)
Vyhlásenie:
Všetok softvér, programovacie materiály alebo články publikované spoločnosťou Code Farmer Network slúžia len na vzdelávacie a výskumné účely; Vyššie uvedený obsah nesmie byť použitý na komerčné alebo nezákonné účely, inak nesú všetky následky používateľmi. Informácie na tejto stránke pochádzajú z internetu a spory o autorské práva s touto stránkou nesúvisia. Musíte úplne vymazať vyššie uvedený obsah zo svojho počítača do 24 hodín od stiahnutia. Ak sa vám program páči, podporte originálny softvér, zakúpte si registráciu a získajte lepšie originálne služby. Ak dôjde k akémukoľvek porušeniu, kontaktujte nás prosím e-mailom.
Mail To:help@itsvse.com