Built-In Roles

在本页面

• 数据库用户角色

• 数据库 Management 角色

• 群集 Management 角色

• 备份和还原角色

• All-Database Roles

• Superuser Roles

• Internal Role

MongoDB 通过role-based authorization授予对数据和命令的访问权限，并提供内置角色，这些角色提供数据库系统中通常需要的不同访问级别。您还可以创建user-defined roles。

角色授予特权以对定义的resources执行actions集。给定角色适用于在其上定义了该角色的数据库，并且可以授予访问权限，直至达到粒度的收集级别。

MongoDB 的每个内置角色在角色级别的数据库中对所有* non *系统集合的访问权限在数据库级别定义，而在所有system collections的集合级别定义访问权限。

MongoDB 在每个数据库上提供内置的database user和database administration角色。 MongoDB 仅在admin数据库上提供所有其他内置角色。

本节介绍每个内置角色的特权。您还可以通过发出rolesInfo命令并将showPrivileges和showBuiltinRoles字段都设置为true来随时查看内置角色的特权。

数据库用户角色

每个数据库都包含以下 Client 端角色：

• read

  • 提供读取所有* non *系统集合以及以下系统集合上的数据的能力：system.indexes，system.js和system.namespaces集合。该角色通过授予以下actions来提供读取访问权限：

• changeStream

• collStats

• dbHash

• dbStats

• find

• killCursors

• listIndexes

• listCollections

• readWrite

  • 提供read角色的所有特权以及修改所有* non * -system 集合和system.js集合上的数据的功能。该角色对这些集合提供以下操作：

• collStats

• convertToCapped

• createCollection

• dbHash

• dbStats

• dropCollection

• createIndex

• dropIndex

• find

• insert

• killCursors

• listIndexes

• listCollections

• remove

• renameCollectionSameDB

• update

数据库 Management 角色

每个数据库都包含以下数据库 Management 角色：

• dbAdmin

  • 在数据库的system.indexes，system.namespaces和system.profile集合上提供以下actions：

• collStats

• dbHash

• dbStats

• find

• killCursors

• listIndexes

• listCollections

• system.profile上的dropCollection和createCollection 仅

在版本 2.6.4 中进行了更改：dbAdmin为system.profile集合添加了createCollection。以前的版本在system.profile集合中只有dropCollection。

对所有* non 系统集合提供以下操作。该角色不*包括对非系统集合的完全读取访问权限：

• bypassDocumentValidation

• collMod

• collStats

• compact

• convertToCapped

• createCollection

• createIndex

• dbStats

• dropCollection

• dropDatabase

• dropIndex

• enableProfiler

• reIndex

• renameCollectionSameDB

• repairDatabase

• storageDetails

• validate

• dbOwner

  • 数据库所有者可以对数据库执行任何 Management 操作。该角色结合了readWrite，dbAdmin和userAdmin角色授予的特权。

• userAdmin

  • 提供创建和修改数据库角色和用户的功能。在数据库上具有此角色的用户可以为该数据库的任何用户(包括他们自己)分配任何角色或特权。

userAdmin角色显式提供以下操作：

• changeCustomData

• changePassword

• createRole

• createUser

• dropRole

• dropUser

• grantRole

• revokeRole

• setAuthenticationRestriction

• viewRole

• viewUser

群集 Management 角色

admin数据库包括以下角色，用于 Management 整个系统，而不仅仅是一个数据库。这些角色包括但不限于replica set和sharded clusterManagement 职能。

• clusterAdmin

  • 提供最大的群集 Management 访问。该角色结合了clusterManager，clusterMonitor和hostManager角色授予的特权。此外，该角色提供dropDatabase动作。

• clusterManager

  • 在版本 3.4 中更改。

提供对集群的 Management 和监视操作。具有此角色的用户可以访问分别用于分片和复制的config和local数据库。

在整个群集上提供以下操作：

• addShard

• appendOplogNote

• applicationMessage

• cleanupOrphaned

• flushRouterConfig

• listSessions(3.6 版中的新功能)

• listShards

• removeShard

• replSetConfigure

• replSetGetConfig

• replSetGetStatus

• replSetStateChange

• resync

对集群中的所有数据库执行以下操作：

• enableSharding

• moveChunk

• splitChunk

• splitVector

在config数据库上，提供以下特权：

Resource	Actions
config数据库中的所有集合	collStats
dbHash dbStats enableSharding find insert killCursors listCollections listIndexes moveChunk planCacheRead remove splitChunk splitVector update
system.indexes, system.js, system.namespaces collections	collStats dbHash dbStats find killCursors listCollections listIndexes planCacheRead

在local数据库上，提供以下特权：

Resource	Actions
local数据库中的所有集合	enableSharding
insert moveChunk remove splitChunk splitVector update
system.replset collection	collStats dbHash dbStats find killCursors listCollections listIndexes planCacheRead

• clusterMonitor
  • 在版本 3.4 中更改。

提供对监视工具(例如MongoDB 云 Management 器和Ops Manager监视代理程序)的只读访问权限。

在整个群集上提供以下操作：

• connPoolStats

• getCmdLineOpts

• getLog

• getParameter

• getShardMap

• hostInfo

• inprog

• listDatabases

• listSessions(3.6 版中的新功能)

• listShards

• netstat

• replSetGetConfig

• replSetGetStatus

• serverStatus

• shardingState

• top

对集群中的所有数据库执行以下操作：

• collStats

• dbStats

• getShardVersion

• indexStats

• useUUID(3.6 版中的新功能)

对集群中的所有system.profile集合提供find操作。

在config数据库上，提供以下特权：

Resource	Actions
config数据库中的所有集合	collStats
dbHash dbStats find getShardVersion indexStats killCursors listCollections listIndexes planCacheRead
system.indexes, system.js, system.namespaces collections	collStats dbHash dbStats find killCursors listCollections listIndexes planCacheRead

在local数据库上，提供以下特权：

Resource	Actions
local数据库中的所有集合	collStats
dbHash dbStats find getShardVersion indexStats killCursors listCollections listIndexes planCacheRead
system.indexes, system.js, system.namespaces collections	collStats dbHash dbStats find killCursors listCollections listIndexes planCacheRead
system.replset , system.profile,	find

• hostManager
  • 提供监视和 Management 服务器的功能。

在整个群集上提供以下操作：

• applicationMessage

• closeAllDatabases

• connPoolSync

• cpuProfiler

• diagLogging

• flushRouterConfig

• fsync

• invalidateUserCache

• killAnyCursor(版本 3.6.3 中的新增功能)

• killAnySession(3.6 版中的新功能)

• killop

• logRotate

• resync

• setParameter

• shutdown

• touch

• unlock

对集群中的所有数据库执行以下操作：

• killCursors

• repairDatabase

备份和还原角色

admin数据库包括以下角色，用于备份和还原数据：

• backup
  • 在版本 3.4 中更改。

提供备份数据所需的最小特权。该角色提供足够的特权来使用MongoDB 云 Management 器备份代理，Ops Manager备份代理，或使用mongodump备份整个mongod实例。

在admin数据库中的mms.backup集合上和config数据库中的settings集合上提供insert和update操作。

在anyResource上，提供

• listDatabases action

• listCollections action

• listIndexes action

在整个cluster上，提供

• appendOplogNote

• getParameter

• listDatabases

针对以下内容提供find操作：

• 集群中的所有非系统集合，包括config和local数据库中的集合

• 群集中的以下系统集合：system.indexes，system.namespaces，system.js和system.profile

• admin.system.users和admin.system.roles集合

• config.settings集合

• 2.6 之前的 MongoDB 版本中的旧system.users集合

对config.settings集合提供insert和update动作。

在版本 3.2.1 中进行了更改：backup角色提供了额外的特权来备份使用database profiling运行时存在的system.profile集合。以前，用户需要对此集合具有额外的read访问权限。

• restore
  • 在版本 3.6 中更改：在非系统集合上提供convertToCapped。

提供必要的特权，以从备份中还原数据如果数据不包含system.profile收集数据，并且您在不使用--oplogReplay选项的情况下运行mongorestore。

如果备份数据包含system.profile收集数据，或者您使用--oplogReplay运行，则需要其他特权：

system.profile	如果备份数据包含system.profile集合数据，并且目标数据库不包含system.profile集合，则mongorestore会尝试创建该集合，即使该程序实际上并未还原system.profile文档。因此，用户需要其他特权才能对数据库的system.profile集合执行createCollection和convertToCapped操作。

内置角色dbAdmin和dbAdminAnyDatabase均提供其他特权。
| --oplogReplay |要与--oplogReplay一起运行，请创建在anyResource上具有anyAction的user-defined role。
仅向必须使用--oplogReplay运行mongorestore的用户授予权限。

在整个群集上提供以下操作：

• getParameter

对所有* non *系统集合提供以下操作：

• bypassDocumentValidation

• changeCustomData

• changePassword

• collMod

• convertToCapped

• createCollection

• createIndex

• createRole

• createUser

• dropCollection

• dropRole

• dropUser

• grantRole

• insert

• revokeRole

• viewRole

• viewUser

对system.js集合提供以下操作：

• bypassDocumentValidation

• collMod

• createCollection

• createIndex

• dropCollection

• insert

对anyResource提供以下操作：

• listCollections

对集群中的所有system.namespaces集合提供find操作。

对config和local数据库上的所有非系统集合提供以下操作：

• bypassDocumentValidation

• collMod

• createCollection

• createIndex

• dropCollection

• insert

在admin.system.version上提供以下操作

• bypassDocumentValidation

• collMod

• createCollection

• createIndex

• dropCollection

• find

• insert

对admin.system.roles提供以下操作

• createIndex

对admin.system.users和旧版system.users集合提供以下操作：

• bypassDocumentValidation

• collMod

• createCollection

• createIndex

• dropCollection

• find

• insert

• remove

• update

尽管restore可以使用常规修改操作来修改admin.system.users集合中的文档，但是仅使用用户 Management 方法可以修改这些数据。

All-Database Roles

在版本 3.4 中更改。

以下角色仅对admin数据库上的用户可用。这些角色提供的特权适用于除local和config之外的所有数据库上的system.*集合以外的所有集合：

• readAnyDatabase
  • 在local和config之外的所有数据库上提供与read相同的只读特权。 readAnyDatabase还在群集上提供listDatabases特权操作。

在版本 3.4 中更改：readAnyDatabase不再适用于local和config数据库。要在local和config上提供读取特权，请在admin数据库上创建一个用户，在local和config数据库上具有read角色。

另请参见clusterManager和clusterMonitor角色以访问config和local数据库。

• readWriteAnyDatabase
  • 在local和config之外的所有数据库上提供与readWrite相同的读写特权。 readWriteAnyDatabase还在群集上提供listDatabases特权操作。

在版本 3.4 中更改：readWriteAnyDatabase不再适用于local和config数据库。要在local和config上提供读取和写入特权，请在admin数据库上创建一个用户，在local和config数据库上具有readWrite角色。

另请参见clusterManager和clusterMonitor角色以访问config和local数据库。

• userAdminAnyDatabase

  • 在除local和config之外的所有数据库上，提供与userAdmin相同的用户 Management 操作访问权限。 userAdminAnyDatabase还对群集提供以下特权操作：

• authSchemaUpgrade

• invalidateUserCache

• listDatabases

该角色还对admin数据库上的system.users和system.roles集合以及 2.6 之前的 MongoDB 版本的旧system.users集合提供以下特权操作：

• collStats

• dbHash

• dbStats

• find

• killCursors

• planCacheRead

在版本 2.6.4 中进行了更改：userAdminAnyDatabase在admin.system.users和admin.system.roles集合上添加了以下特权操作：

• createIndex

• dropIndex

userAdminAnyDatabase角色不限制用户可以授予的特权。结果，userAdminAnyDatabase用户可以授予自己超出当前权限的特权，甚至可以授予自己“所有特权”，即使该角色并未明确授权用户 Management 之外的特权。这个角色实际上是 MongoDB 系统superuser。

在版本 3.4 中进行了更改：userAdminAnyDatabase不再适用于local和config数据库。

另请参见clusterManager和clusterMonitor角色以访问config和local数据库。

• dbAdminAnyDatabase
  • 在除local和config之外的所有数据库上，提供与dbAdmin相同的数据库 Management 操作访问权限。 dbAdminAnyDatabase还在群集上提供listDatabases特权操作。

在版本 3.4 中更改：dbAdminAnyDatabase不再适用于local和config数据库。要在local和config上提供dbAdmin特权，请在admin数据库上创建一个用户，在local和config数据库上具有dbAdmin角色。

另请参见clusterManager和clusterMonitor角色以访问config和local数据库。

Superuser Roles

多个角色提供间接或直接的系统范围的超级用户访问。

以下角色提供了在任何数据库上分配任何用户任何特权的能力，这意味着具有这些角色之一的用户可以在任何数据库上“自己分配”任何特权：

• 范围为admin数据库的dbOwner角色

• 范围为admin数据库的userAdmin角色

• userAdminAnyDatabase role

以下角色提供对所有资源的完整特权：

• root
  • 提供对readWriteAnyDatabase，dbAdminAnyDatabase，userAdminAnyDatabase，clusterAdmin角色，restore和backup角色组合的操作和所有资源的访问。

在版本 3.4 中进行了更改：root角色包括backup角色的特权。

在版本 3.0.7 中进行了更改：root对system.集合具有validate操作。以前，root不包括对以system.前缀(system.indexes和system.namespaces除外)开头的集合的任何访问。

root角色包括restore角色的特权。

Internal Role

• __system
  • MongoDB 将此角色分配给代表群集成员的用户对象，例如副本集成员和mongos实例。该角色使它的所有者有权对数据库中的任何对象执行任何操作。

**除非特殊情况，否则请勿将此角色分配给代表应用程序或人工 Management 员的用户对象。

如果您需要访问所有资源上的所有操作，例如运行applyOps命令，请不要分配此角色。而是在anyResource上授予anyAction的创建用户定义的角色并确保只有需要访问这些操作的用户才具有此访问权限。