MongoDB已经定义了一些内建角色,同时还提供了用户自定义角色的功能,以满足用户千差万别的需求。

官文User-Defined Roles中对其有简略介绍,但要熟悉怎么创建角色,还需要了解下面的这些概念:

-(数据库)操作(Privilege Actions)

-(数据库)资源(Resource)

-Scope

-权限(Privileges)

-权限继承(Inherited Privileges)

-

上面的概念可以参考下面的官文:

Role-Based Access Control

Privilege Actions

Resource Document

官文中下面几句话孤以为是重点:

1.When adding a role, you create the role in a specific database.

在添加角色时,是将角色添加到某个数据库下。

2.MongoDB uses the combination of the database and the role name to uniquely define a role.

MongoDB使用 数据库和角色名 作为 角色的 唯一标识。

3.MongoDB stores all role information in the system.roles collection in the admin database.

MongoDB将所有角色信息存储到 admin数据库下的名为system.roles的集合 中。

4.A MongoDB privilege comprises a resource and the permitted actions.

一个MongoDB权限 包含一个资源上允许的操作,即可以对某个资源做什么。

5.a user-defined role scoped for a non-admin database VS. User-defined roles scoped for the admin database

自定义在非admin数据库上的角色 对比 自定义在admin数据库上的角色

上面两种角色 孤的翻译或许不准确,请读者提供意见,后者有用更多能力——创建、更新、继承等方面。

怎么创建角色呢?

本文的重点。更准确的说法应该是 怎么创建某个数据库的角色?使用db.createRole()!

官文db.createRole()中给出了其具体使用方法:

db.createRole(role, writeConcern)

参数role是必须的,定义了角色名称及其权限定义;参数writeConcern是可选的,暂不熟悉其用法及意义,请参考官文Write Concern

官文db.createRole()中给出的role参数(document)的规范:

其中,

role为角色名称;

privileges为 权限(资源上的操作)列表;

roles为 需要继承的 某些角色 在 某个数据库上的权限 的列表;

authenticationRestrictions为 服务器对该角色 强制要求的认证限制,可选项,比如,只允许某些IP地址的拥有该角色的用户的连接请求(很有用啊!)。

当然,具体细节请参考官文db.createRole()及其它官文。

疑问:角色名称 可以使用哪些字符?是否能用点号(.)等?是否可以用中文?长度限制?加上数据库名后的长度限制(唯一标识)?每个数据库可以创建多少个角色?整个服务器呢?整个Replica Set呢?更大规模的呢?

提示:本文涉及到单例MongoDB服务器,而没有涉及到Replica Set、集群等更大规模的角色管理,还需要继续dig(以后项目用到了再dig也不迟,近期可以考虑熟悉Replica Set的相关操作)。

提示:在创建角色前,请确认当前用户是否在目标资源上拥有createRole、grantRole、setAuthenticationRestriction等操作的权力。否则,创建失败。

下面是官文db.createRole()中的一个示例(JavaScript格式?):

 use admin

 db.createRole(

    {

      role: "myClusterwideAdmin",

      privileges: [

        { resource: { cluster: true }, actions: [ "addShard" ] },

        { resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] },

        { resource: { db: "users", collection: "usersCollection" }, actions: [ "update", "insert", "remove" ] },

        { resource: { db: "", collection: "" }, actions: [ "find" ] }

      ],

      roles: [

        { role: "read", db: "admin" }

      ]

    },

    { w: "majority" , wtimeout: 5000 }

 )

更多示例请参考官文Manage Users and Roles(下午孤也会去看看这个)。

提示:示例 真的很重要!可以加快学习的进程和效率!节约时间(生命)!

【角色管理】

对了,除了创建角色,MongoDB还允许修改角色、更新角色、删除角色等,请在官文mongo Shell Methods - Role Management查看更多信息:

后记

怎么为不同规模的MongoDB应用创建角色呢?策略是什么?

做了MongoDB里面的相关安全操作,可以保证多大程度的安全?

模糊地记得,数据库文件会被锁住,这个又该怎么办?提高操作系统、网络等的安全性?

MongoDB源码漏洞出现时,怎么第一时间发现并解决?保证数据的安全性、保证基于MongoDB的应用的稳定性?

额,还有好多要做的。

当然,知识的内容很多,普通程序员、高级程序员、架构师需要了解的东西不一样,需要循序渐进才是!

要是精通MongoDB了,直接做MongoDB管理员好了!

路漫漫~

角色创建成功后,就可以考虑建立基于角色的用户了。

MongoDB安全:创建角色(User-Defined Roles)的更多相关文章

  1. MongoDB的内置角色 Built-In Roles

    关于芒果的权限控制说白了就是定义 Role(角色) 来控制对数据库进行的操作(调用的方法比如查询方法find). 系统内置的Role分为 以下几大类: Database User Roles 这个是针 ...

  2. [Config]Zabbix的Mongodb插件安装,centos

    1.yum install php-devel php-pear httpd-devel 2.安装mongo php驱动,pecl install mongo 3.pecl install mongo ...

  3. Codeigniter MongoDB类库

    安装方法:1.将mongodb.php 放到config目录2.将Mongo_db.php放到library目录 使用方法: $this->mongo_db->where_gte('age ...

  4. ECOS-Ecstore mongodb大数据 读写效率优化

    转自同功BBS 拆表存取kv <?php /* 经过拆变优化的ECStore mongodb 类 base/lib/kvstore/mongodb.php*/ class base_kvstor ...

  5. A Framework for Programme Management

    In business today organisations manage multiple projects concurrently with shared or overlapping res ...

  6. Linux_Oracle命令大全

     一,启动 1.#su - oracle              切换到oracle用户且切换到它的环境 2.$lsnrctl status           查看监听及数据库状态 3.$ls ...

  7. 【Ansible】Playbook实例

    Learn to build Ansible playbooks with our guide, one step at a time In our previous posts, we introd ...

  8. [EXT JS]"hasMany" association on ExtJS 4.1.1a

    ExtJS uses "hasMany" association to support nested json. However the sencha docs lacks wel ...

  9. Linux_oracle命令大全(转)

    Linux_oracle命令大全 一,启动 1.#su - oracle              切换到oracle用户且切换到它的环境 2.$lsnrctl status           查看 ...

随机推荐

  1. 洛谷P1592 互质

    题目描述 输入两个正整数n和k,求与n互质的第k个正整数. 输入输出格式 输入格式: 仅一行,为两个正整数n(≤10^6)和k(≤10^8). 输出格式: 一个正整数,表示与n互质的第k个正整数. 由 ...

  2. 遇到问题---java---安装新版本jdk后Failed reading value of registry key

    情况 情况是原本安装有jdk1.7,能正常运行,现在要升级到1.8. 直接在oracle的网站下载1.8安装后修改配置为1.8后: 能用javac编译成功,但java命令运行时报错: Failed r ...

  3. Java考试题之八

    QUESTION 139 Giventhe following directory structure: bigProject |--source | |--Utils.java ||--classe ...

  4. 配置iOS项目的设备系统目标设置:Base SDK和Deployment Target

    配置iOS项目的设备系统目标设置:Base SDK和Deployment Target Xcode为开发者提供了两个可配置的设置:第一个是Base SDK,第二个是iOS的Deployment Tar ...

  5. R语言外部数据读取

    0  引言 使用R语言.Python等进行数据处理的第一步就是要导入数据(也可以使用UCI数据集),下文主要根据R语言的帮助文档来介绍外部文件数据的导入方法和注意事项.下面先附上一些指令. 1 格式r ...

  6. iperf测试网络性能

      分类: LINUX 2013-06-17 18:52:21     Iperf是一个网络性能测试工具.可以测试TCP和UDP带宽质量,可以测量最大TCP带宽,具有多种参数和UDP特性,可以报告带宽 ...

  7. django中的转义

    什么是html转义? 所谓html转义就是将  html关键字(包括标签,特殊字符等)  进行过滤替换.过滤替换格式如下: 接下来我们通过实例演示django中转义的细节以及如何关闭转义 一  dja ...

  8. Go_15:GoLang中面向对象的三大特性

    有过 JAVA 语言学习经历的朋友都知道,面向对象主要包括了三个基本特征:封装.继承和多态.封装,就是指运行的数据和函数绑定在一起,JAVA 中主要是通过 super 指针来完成的:继承,就是指 cl ...

  9. HTTP协议(4):CGI

    CGI接口原理及实现(2012-12-7 Over) 1.CGI定义: CGI(CommonGateway Interface)是HTTP服务器与你的或其它机器上的程序进行“交谈”的一种工具,其程序须 ...

  10. tomcat 性能检测

    一.jconsole 1.tomcat在windows上,start方式启动 在catalina.bat 文件中的:doRun和:doStart下添加以下代码 (没有换行) set JAVA_OPTS ...