MongoDB建立只讀使用者並授權指定集合的查詢許可權

kahnyao發表於2024-11-14

MongoDB建立只讀使用者並授權指定集合的查詢許可權

建立測試資料

use testdb
db.test_t.insertOne({id:1,name:'zhangsan'});
db.test_t.insertOne({id:2,name:'lisi'});
db.test_t1.insertOne({id:1,name:'zhangsan'});
db.test_t1.insertOne({id:2,name:'lisi'});
db.test_t2.insertOne({id:1,name:'zhangsan'});

建立一個自定義角色,只允許在 testdb 資料庫的 test_t1test_t2 集合上執行查詢操作。

use testdb

db.createRole({
  role: "read_testdb",  // 角色名稱
  privileges: [
    {
      resource: { db: "testdb", collection: "test_t1" },  // 對testdb資料庫下的test_t1集合授予許可權
      actions: [ "find" ]  // 允許查詢操作(find)
    },
    {
      resource: { db: "testdb", collection: "test_t2" },  // 對testdb資料庫下的test_t2集合授予許可權
      actions: [ "find" ]
    }
  ],
  roles: []  // 沒有繼承其他角色
})

建立使用者並分配角色

use testdb

db.createUser({
  user: "test_user",  // 使用者名稱
  pwd: "test_user",  // 使用者密碼
  roles: [
    { role: "read_testdb", db: "testdb" }  // 分配剛才建立的角色
  ]
})

驗證許可權

[mongodb@mongo190 ~]$ mongosh -u test_user -p test_user 192.168.1.190:27017/testdb
Current Mongosh Log ID: 6736122884c4113b2f1bd68d
Connecting to:          mongodb://<credentials>@192.168.1.190:27017/testdb?directConnection=true&appName=mongosh+1.10.1
Using MongoDB:          6.0.6
Using Mongosh:          1.10.1

For mongosh info see: https://docs.mongodb.com/mongodb-shell/

 
Enterprise testdb> db.test_t1.find()
[
  {
    _id: ObjectId("67360308cd77db51ff44f83a"),
    id: 1,
    name: 'zhangsan'
  },
  { _id: ObjectId("67360308cd77db51ff44f83b"), id: 2, name: 'lisi' }
]
Enterprise testdb> db.test_t2.find()
[
  {
    _id: ObjectId("67360371cd77db51ff44f83c"),
    id: 1,
    name: 'zhangsan'
  }
]
Enterprise testdb> db.test_t.find()
MongoServerError: not authorized on testdb to execute command { find: "test_t", filter: {}, lsid: { id: UUID("89d7523d-ce34-41f7-bb6e-d304e3ccf66a") }, $db: "testdb" }
Enterprise testdb> 

相關文章