MongoDB使用基于角色的访问控制(RBAC)来管理对MongoDB系统的访问。授予用户一个或多个角色,这些角色确定用户对数据库资源的访问权限和对数据库的操作权限。如果没有分配角色,那么用户就无权访问系统。
启用访问控制(Enable Access Control)
MongoDB默认情况下不启用访问控制。可以通过–auth或security.authorization配置来启用授权。启用内部身份验证同时会启用客户端授权。
启用访问控制后,用户必须进行身份验证。
角色(Roles)
角色授予(用户)特权以对资源执行指定的操作。每个特权要么在角色中明确指定,要么从另一个角色继承,或两者都有。
特权(Privileges)
资源是数据库,集合,集合组或集群。如果资源是集群,则相关操作会影响系统状态,而不是特定的数据库或集合。有关资源文档的信息,请参阅资源文档。
操作指定对资源允许的运算活动。有关可用的操作,请参阅特权操作。
继承的特权(Inherited Privileges)
一个角色可以在其定义中包含一个或多个现有角色,在这种情况下,该角色将继承所包含角色的所有特权。
角色可以从其数据库中的其他角色继承特权。在admin数据库上创建的角色可以从任何数据库中的角色继承特权。
查看角色的特权(View Role’s Privileges)
可以通过执行roleInfo命令,同时showPrivileges和showBuiltinRoles字段都设置为true,来查看角色的特权。例如:
{
rolesInfo: { role: , db: },
showPrivileges: ,
showBuiltinRoles:
}
用户和角色
可以在用户创建期间为用户分配角色。还可以更新现有用户以授予或撤消角色。有关用户管理方法的完整列表,请参阅用户管理。
分配了角色的用户将获得该角色的所有特权。一个用户可以具有多个角色。通过给用户分配不同的数据库角色,在一个数据库中创建的用户可以具有对其他数据库执行操作的权限。
注意
在数据库中创建的第一个用户应该是具有管理其他用户权限的用户管理员(user administrator)。请参阅启用访问控制。
内置角色和用户自定义角色(Built-In Roles and User-Defined Roles)
MongoDB提供了内置角色,这些角色提供了数据库系统中常用的一组特权。
如果这些内置角色无法提供所需的特权集,则MongoDB提供了创建和修改用户自定义角色的方法。