system.roles 集合
在本页
admin数据库中的system.roles集合存储用户定义的角色。为了创建和管理这些用户自定义角色,MongoDB提供了角色管理命令。
system.roles 集合的Schema
system.roles集合中的文档具有以下的schema:
复制
{
_id: <system-defined id>,
role: "<role name>",
db: "<database>",
privileges:
[
{
resource: { <resource> },
actions: [ "<action>", ... ]
},
...
],
roles:
[
{ role: "<role name>", db: "<database>" },
...
]
}
一个system.roles文档具有以下字段:
admin.system.roles.``role
该role字段是一个字符串,用于指定角色的名称。
admin.system.roles.``db
该db字段是一个字符串,用于指定角色所属的数据库。MongoDB通过名称(即role)及其数据库的配对来唯一标识每个角色 。
admin.system.roles.``privileges
该privileges数组包含权限文件,这些文件定义了角色的权限。
权限文档具有以下语法:
复制
{
resource: { <resource> },
actions: [ "<action>", ... ]
}
每个权限文档具有以下字段:
admin.system.roles.privileges[n].resource
一个文档,该文档指定权限操作所应用的资源。
该文档具有以下格式之一:
复制
{ db: <database>, collection: <collection> }
或者
{ cluster : true }
有关更多详细信息,请阅读资源文档。
admin.system.roles.privileges[n].actions
资源上允许的一系列操作, 有关操作列表,请参阅权限操作
admin.system.roles.roles
该roles数组包含角色文档,这些角色文档指定了该角色从中继承权限的角色。
角色文档具有以下语法:
复制
{ role: "<role name>", db: "<database>" }
角色文档具有以下字段:
admin.system.roles.roles[n].role
角色名称。角色可以是 MongoDB 提供的内置角色,也可以是用户定义的角色。
admin.system.roles.roles[n].db`
定义角色的数据库的名称。
案例
考虑以下在admin 数据库的 system.roles 中发现的示例文档
用户自定义的角色指定权限
以下是为 myApp 数据库定义的自定义用户 appUser 的示例文档
复制
{
_id: "myApp.appUser",
role: "appUser",
db: "myApp",
privileges: [
{ resource: { db: "myApp" , collection: "" },
actions: [ "find", "createCollection", "dbStats", "collStats" ] },
{ resource: { db: "myApp", collection: "logs" },
actions: [ "insert" ] },
{ resource: { db: "myApp", collection: "data" },
actions: [ "insert", "update", "remove", "compact" ] },
{ resource: { db: "myApp", collection: "system.js" },
actions: [ "find" ] },
],
roles: []
}
privileges数组列出了appUser角色指定的五个权限
第一个权限允许对 myApp 数据库中除 system 集合以外所有集合执行("find"
,"createCollection","dbStats","collStats"`) 操作, 详见 将数据库指定为操作资源.后面的两个权限允许对 myApp 数据库中指定的集合 logs 和 data 上执行额外的操作,详见 指定数据库中的集合作为操作资源.
最后一个权限允许在 myApp 数据库的 system 集合 上操作。虽然第一个权限为查找操作授予了数据库范围,但是不能在 myApp 数据库的 system 集合上操作。为了授予访问 system 集合的权限,权限必须显示指定需要操作的集合。详见操作资源文档.
空的roles数组指定 appUser 没有从其他角色继承权限。
用户自定义的角色继承其他角色权限
以下示例文档为 myApp 数据库定义了用户自定义角色 appAdmin :文档显示 appAdmin 角色指定了权限,也从其他角色继承了权限。
复制
{
_id: "myApp.appAdmin",
role: "appAdmin",
db: "myApp",
privileges: [
{
resource: { db: "myApp", collection: "" },
actions: [ "insert", "dbStats", "collStats", "compact" ]
}
],
roles: [
{ role: "appUser", db: "myApp" }
]
}
privileges 数组列举了 appAdmin 角色指定的权限,这个角色有一个权限,允许在除 system 集合外的所有集合上执行 ( "insert", "dbStats", "collStats", "compact")操作。详见执行数据库作为操作资源.
roles数组列出了由角色名称和数据库标识的角色,角色 appAdmin 从中继承权限。
原文链接:https://docs.mongodb.com/manual/reference/system-roles-collection/
译者:谢伟成
参见