管理用户和角色_MonogDB 中文网

MongoDB 中文手册

在本页面

总览
先决条件
创建用户定义的角色
修改现有用户的访问权限
修改现有用户的密码
查看用户的角色
查看角色的特权

概述¶

本教程提供了MongoDB授权模型下的用户和角色管理示例。添加用户介绍了如何向MongoDB添加新用户。

前提条件¶

重要

如果您为部署启用了访问控制，则必须使用每个部分中指定的必需特权以用户身份进行身份验证。具有该userAdminAnyDatabase角色或userAdmin特定数据库中的角色的用户管理员提供执行本教程中列出的操作所需的特权。有关将用户管理员添加为第一个用户的详细信息，请参见启用访问控制。

创建一个用户定义的角色¶

角色授予用户访问MongoDB资源的权限。MongoDB提供了许多内置角色，管理员可以使用这些角色来控制对MongoDB系统的访问。但是，如果这些角色无法描述所需的特权集，则可以在特定数据库中创建新角色。

除了在admin数据库中创建的角色之外，角色只能包含适用于其数据库的特权，并且只能从其数据库中的其他角色继承。

在admin数据库中创建的角色可以包括应用于admin数据库，其他数据库或群集资源的特权，并且可以从其他数据库以及数据库中的角色继承admin。

若要创建新角色，请使用db.createRole()方法，在privileges数组中指定特权，并在数组中指定继承的角色roles。

MongoDB使用数据库名称和角色名称的组合来唯一定义角色。每个角色的作用域仅限于您在其中创建角色的数据库，但是MongoDB将所有角色信息存储admin.system.roles在admin数据库的集合中。

前提条件¶

要在数据库中创建角色，您必须具有：

该数据库资源上的动作。createRole
在该数据库上执行的操作，以指定新角色的特权以及指定要继承的角色。grantRole

内置角色userAdmin并在其各自的资源上userAdminAnyDatabase提供createRole和 grantRole采取行动。

要创建具有authenticationRestrictions指定角色的角色，必须对创建角色的数据库资源执行操作。setAuthenticationRestriction

创建角色管理当前操作¶

以下示例创建一个名为的角色manageOpRole，该角色仅提供运行db.currentOp()和的特权db.killOp()。[1]

注意

在版本3.2.9中进行了更改：在mongod实例上，用户不需要任何特定的特权即可查看或取消自己的操作。有关详细信息，请参见 db.currentOp()和db.killOp()。

1个

以适当的权限连接到MongoDB。¶

连接到mongod或mongos具有“ 先决条件”部分中指定的特权。

以下过程使用myUserAdmin在“ 启用访问控制 ”中创建的。

复制

mongo --port 27017 -u myUserAdmin -p 'abc123' --authenticationDatabase 'admin'

在myUserAdmin有权限创建角色admin 以及其他数据库。

创建一个新角色来管理当前操作。¶

manageOpRole具有对多个数据库和群集资源起作用的特权。因此，您必须在admin数据库中创建角色。

复制

use admin
db.createRole(
   {
     role: "manageOpRole",
     privileges: [
       { resource: { cluster: true }, actions: [ "killop", "inprog" ] },
       { resource: { db: "", collection: "" }, actions: [ "killCursors" ] }
     ],
     roles: []
   }
)

新角色授予杀死任何操作的权限。

警告

极其谨慎地终止正在运行的操作。仅使用该db.killOp()方法或killOp命令终止由客户端启动的操作，而不终止内部数据库操作。

[1]	内置角色`clusterMonitor`还提供了`db.currentOp()`与其他特权一起运行的特权，而内置角色`hostManager`提供了`db.killOp()`与其他特权一起运行的特权。

创建要运行的角色`mongostat`¶

以下示例创建一个名为的角色mongostatRole，该角色仅提供运行特权mongostat。 [2]

1个

以适当的权限连接到MongoDB。¶

连接到mongod或mongos具有“ 先决条件”部分中指定的特权。

以下过程使用myUserAdmin在“ 启用访问控制 ”中创建的。

复制

mongo --port 27017 -u myUserAdmin -p 'abc123' --authenticationDatabase 'admin'

在myUserAdmin有权限创建角色admin 以及其他数据库。

创建一个新角色来管理当前操作。¶

mongostatRole具有对群集资源起作用的特权。因此，您必须在admin数据库中创建角色。

复制

use admin
db.createRole(
   {
     role: "mongostatRole",
     privileges: [
       { resource: { cluster: true }, actions: [ "serverStatus" ] }
     ],
     roles: []
   }
)

[2]	内置角色 `clusterMonitor`还提供了`mongostat`与其他特权一起运行的特权。

创建一个角色来删除`system.views`跨数据库的集合¶

以下示例创建一个名为的角色dropSystemViewsAnyDatabase，该角色提供将system.views集合删除到任何数据库中的特权。

1个

以适当的权限连接到MongoDB。¶

连接到mongod或mongos具有“ 先决条件”部分中指定的特权。

以下过程使用myUserAdmin在“ 启用访问控制 ”中创建的。

复制

mongo --port 27017 -u myUserAdmin -p 'abc123' --authenticationDatabase 'admin'

在myUserAdmin有权限创建角色admin 以及其他数据库。

创建一个新角色以将`system.views`集合拖放到任何数据库中。¶

对于角色，请指定一个特权，该特权包括：

actions包含dropCollection动作的数组，以及
一个资源文件，指定一个空字符串（""）数据库和字符串 "system.views"的集合。有关更多信息，请参见将跨数据库的集合指定为资源。

复制

use admin
db.createRole(
   {
     role: "dropSystemViewsAnyDatabase",
     privileges: [
       {
         actions: [ "dropCollection" ],
         resource: { db: "", collection: "system.views" }
       }
     ],
     roles: []
   }
)

修改现有用户的访问权限¶

前提条件¶

您必须对数据库执行操作才能授予该数据库角色。grantRole
您必须对数据库执行操作才能撤消该数据库上的角色。revokeRole
要查看角色的信息，你必须明确授予的角色，或者必须有行动中的作用的数据库。viewRole

程序¶

1个

以适当的权限连接到MongoDB。¶

使用前提条件部分中指定的特权连接到mongod或mongos作为用户。

以下过程使用myUserAdmin在“ 启用访问控制 ”中创建的。

复制

mongo --port 27017 -u myUserAdmin -p 'abc123' --authenticationDatabase 'admin'

识别用户的角色和特权。¶

要显示要修改的用户的角色和特权，请使用 db.getUser()和db.getRole()方法。

例如，要查看reportsUser在Examples中创建的角色，请发出：

复制

use reporting
db.getUser("reportsUser")

要显示数据库中readWrite角色所授予用户的特权 "accounts"，请发出：

复制

use accounts
db.getRole( "readWrite", { showPrivileges: true } )

确定授予或撤销的特权。¶

如果用户需要其他特权，请向用户授予一个或多个角色，并带有一组必需的特权。如果不存在这样的角色，请使用适当的特权集创建一个新角色。

要撤消现有角色提供的特权的子集，请执行以下操作：撤消原始角色并授予仅包含所需特权的角色。如果角色不存在，则可能需要创建一个新角色。

修改用户的访问权限。¶

撤销角色¶

撤销该db.revokeRolesFromUser()方法的作用。以下示例操作从中删除数据库readWrite 上的角色：accountsreportsUser

复制

use reporting
db.revokeRolesFromUser(
    "reportsUser",
    [
      { role: "readWrite", db: "accounts" }
    ]
)

授予角色¶

使用db.grantRolesToUser() 方法授予角色。例如，以下操作向reportsUser用户授予数据库read角色 accounts：

复制

use reporting
db.grantRolesToUser(
    "reportsUser",
    [
      { role: "read", db: "accounts" }
    ]
)

对于分片群集，对用户的更改是 mongos在命令运行时立即发生的。但是，对于mongos群集中的其他实例，用户缓存可能要等待10分钟才能刷新。请参阅 userCacheInvalidationIntervalSecs。

修改现有用户的密码¶

前提条件¶

要修改数据库上另一个用户的密码，您必须对该数据库执行 changeAnyPassword 操作。

程序¶

1个

以适当的权限连接到MongoDB。¶

使用“ 先决条件”部分中指定的特权连接到mongod或。mongos

以下过程使用myUserAdmin在“ 启用访问控制 ”中创建的。

复制

mongo --port 27017 -u myUserAdmin -p 'abc123' --authenticationDatabase 'admin'

修改密码。¶

将用户的用户名和新密码传递给该 db.changeUserPassword()方法。

以下操作将reporting用户密码更改为 SOh3TbYhxuLiW8ypJPxmt1oOfL：

复制

db.changeUserPassword("reporting", "SOh3TbYhxuLiW8ypJPxmt1oOfL")

也可以看看

更改密码和自定义数据

查看用户的角色¶

前提条件¶

要查看其他用户的信息，你必须有行动的其他用户的数据库。viewUser

用户可以查看自己的信息。

程序¶

1个

以适当的权限连接到MongoDB。¶

使用前提条件部分中指定的特权连接到mongod或mongos作为用户。

以下过程使用myUserAdmin在“ 启用访问控制 ”中创建的。

复制

mongo --port 27017 -u myUserAdmin -p 'abc123' --authenticationDatabase 'admin'

识别用户的角色。¶

使用usersInfo命令或db.getUser()方法显示用户信息。

例如，要查看reportsUser在Examples中创建的角色，请发出：

复制

use reporting
db.getUser("reportsUser")

在返回的文档中，该roles 字段显示以下角色的所有角色reportsUser：

复制

...
"roles" : [
   { "role" : "readWrite", "db" : "accounts" },
   { "role" : "read", "db" : "reporting" },
   { "role" : "read", "db" : "products" },
   { "role" : "read", "db" : "sales" }
]

查看角色的权限¶

前提条件¶

要查看角色的信息，你必须明确授予的角色，或者必须有行动中的作用的数据库。viewRole

程序¶

1个

以适当的权限连接到MongoDB。¶

使用前提条件部分中指定的特权连接到mongod或mongos作为用户。

以下过程使用myUserAdmin在“ 启用访问控制 ”中创建的。

复制

mongo --port 27017 -u myUserAdmin -p 'abc123' --authenticationDatabase 'admin'

标识角色授予的特权。¶

对于给定角色，请使用db.getRole()方法或 rolesInfo命令，并showPrivileges选择以下选项：

例如，要查看read角色在products数据库上授予的特权，请使用以下操作，发出：

复制

use products
db.getRole( "read", { showPrivileges: true } )

在返回的文档中，privilegesand inheritedPrivileges数组。该 privileges列表列出了由角色直接指定的特权，并排除了从其他角色继承的那些特权。该inheritedPrivileges 名单由该角色授予的所有权限，无论是直接指定和继承。如果该角色未从其他角色继承，则两个字段相同。

复制

...
"privileges" : [
  {
    "resource": { "db" : "products", "collection" : "" },
    "actions": [ "collStats","dbHash","dbStats","find","killCursors","planCacheRead" ]
  },
  {
    "resource" : { "db" : "products", "collection" : "system.js" },
    "actions": [ "collStats","dbHash","dbStats","find","killCursors","planCacheRead" ]
  }
],
"inheritedPrivileges" : [
  {
    "resource": { "db" : "products", "collection" : "" },
    "actions": [ "collStats","dbHash","dbStats","find","killCursors","planCacheRead" ]
  },
  {
    "resource" : { "db" : "products", "collection" : "system.js" },
    "actions": [ "collStats","dbHash","dbStats","find","killCursors","planCacheRead" ]
  }
]

MongoDB 中文手册

管理用户和角色

概述¶

前提条件¶

创建一个用户定义的角色¶

前提条件¶

创建角色管理当前操作¶

以适当的权限连接到MongoDB。¶

创建一个新角色来管理当前操作。¶

创建要运行的角色mongostat¶

以适当的权限连接到MongoDB。¶

创建一个新角色来管理当前操作。¶

创建一个角色来删除system.views跨数据库的集合¶

以适当的权限连接到MongoDB。¶

创建一个新角色以将system.views集合拖放到任何数据库中。¶

修改现有用户的访问权限¶

前提条件¶

程序¶

以适当的权限连接到MongoDB。¶

识别用户的角色和特权。¶

确定授予或撤销的特权。¶

修改用户的访问权限。¶

撤销角色¶

授予角色¶

修改现有用户的密码¶

前提条件¶

程序¶

以适当的权限连接到MongoDB。¶

修改密码。¶

查看用户的角色¶

前提条件¶

程序¶

以适当的权限连接到MongoDB。¶

识别用户的角色。¶

查看角色的权限¶

前提条件¶

程序¶

以适当的权限连接到MongoDB。¶

标识角色授予的特权。¶

创建要运行的角色`mongostat`¶

创建一个角色来删除`system.views`跨数据库的集合¶

创建一个新角色以将`system.views`集合拖放到任何数据库中。¶