revokePrivilegesFromRole
定义
revokePrivilegesFromRole删除运行该命令的数据库上用户定义角色的指定特权。
revokePrivilegesFromRole命令采用以下语法:提示
在
mongosh中,该命令也可通过db.revokePrivilegesFromRole()辅助方法运行。辅助方法对
mongosh用户来说很方便,但它们返回的信息级别可能与数据库命令不同。如果不追求方便或需要额外的返回字段,请使用数据库命令。{ revokePrivilegesFromRole: "<role>", privileges: [ { resource: { <resource> }, actions: [ "<action>", ... ] }, ... ], writeConcern: <write concern document>, comment: <any> } revokePrivilegesFromRole命令拥有以下字段:字段类型说明revokePrivilegesFromRole字符串要撤销其中的权限的用户定义角色。privileges阵列要从角色中删除的权限数组。 有关权限格式的更多信息,请参阅privileges。writeConcern文档comment任何可选。用户提供的待附加到该命令的注释。设置后,该注释将与该命令的记录一起出现在以下位置:
mongod 日志消息,位于
attr.command.cursor.comment字段中。command.comment字段中的数据库分析器输出。currentOp输出,在command.comment字段。
注释可以是任何有效的 BSON 类型(字符串、整型、对象、数组等)。
行为
要撤销权限,资源文档模式必须与该权限的resource字段完全匹配。 actions字段可以是子集,也可以完全匹配。
例如,假设products数据库中的accountRole角色具有将products数据库指定为资源的以下特权:
{ "resource" : { "db" : "products", "collection" : "" }, "actions" : [ "find", "update" ] }
您无法仅从products数据库中的一个集合中撤销find和/或update 。 以下操作不会导致角色发生变化:
use products db.runCommand( { revokePrivilegesFromRole: "accountRole", privileges: [ { resource : { db : "products", collection : "gadgets" }, actions : [ "find", "update" ] } ] } ) db.runCommand( { revokePrivilegesFromRole: "accountRole", privileges: [ { resource : { db : "products", collection : "gadgets" }, actions : [ "find" ] } ] } )
要撤销角色accountRole中的"find"和/或"update"操作,必须与资源文档完全匹配。 例如,以下操作仅撤销现有特权中的"find"操作。
use products db.runCommand( { revokePrivilegesFromRole: "accountRole", privileges: [ { resource : { db : "products", collection : "" }, actions : [ "find" ] } ] } )
必需的访问权限
您必须对特权的目标数据库执行revokeRole操作才能撤销该特权。 如果特权针对多个数据库或cluster资源,则必须对admin数据库拥有revokeRole操作。
例子
以下操作会从products数据库中的associates角色中删除多个权限:
use products db.runCommand( { revokePrivilegesFromRole: "associate", privileges: [ { resource: { db: "products", collection: "" }, actions: [ "createCollection", "createIndex", "find" ] }, { resource: { db: "products", collection: "orders" }, actions: [ "insert" ] } ], writeConcern: { w: "majority" } } )