自托管部署中的内置角色

数据库用户角色

每个数据库包含以下客户端角色

read

提供在所有非系统集合以及system.js集合上读取数据的能力。

注意

该角色不提供直接访问system.namespaces集合的权限。

该角色通过授予以下操作提供读取访问权限：

• changeStream

• collStats

• dbHash

• dbStats

• find

• killCursors

• listCollections

• listIndexes

• listSearchIndexes

如果用户没有listDatabases权限操作，用户可以运行listDatabases命令来返回用户有权限的数据库列表（包括用户在特定集合上有权限的数据库），如果命令以未指定或设置为true的authorizedDatabases选项运行。

readWrite

提供read角色的所有权限，以及修改所有非系统集合和system.js集合数据的能力。

此角色对这些集合提供以下操作

• changeStream

• collStats

• convertToCapped

• createCollection

• createIndex

• createSearchIndexes

• dbHash

• dbStats

• dropCollection

• dropIndex

• dropSearchIndex

• find

• insert

• killCursors

• listCollections

• listIndexes

• listSearchIndexes

• remove

• renameCollectionSameDB

• update

• updateSearchIndex

数据库管理角色

每个数据库都包含以下数据库管理角色

dbAdmin

提供执行诸如模式相关任务、索引和收集统计信息等管理任务的能力。此角色不授予用户和角色管理的权限。

具体来说，此角色提供以下权限

资源	允许的操作
system.profile	changeStream collStats convertToCapped createCollection dbHash dbStats dropCollection find killCursors listCollections listIndexes listSearchIndexes planCacheRead
所有非系统集合（即数据库资源）	bypassDocumentValidation collMod collStats compact convertToCapped createCollection createIndex createSearchIndexes dbStats dropCollection dropDatabase dropIndex dropSearchIndex enableProfiler listCollections listIndexes listSearchIndexes planCacheIndexFilter planCacheRead planCacheWrite reIndex renameCollectionSameDB storageDetails updateSearchIndex validate 对于这些集合，dbAdmin 不包括完整的读取访问权限（即find）。

dbOwner

数据库所有者可以在数据库上执行任何管理操作。此角色结合了readWrite、dbAdmin和userAdmin角色授予的权限。

userAdmin

允许在当前数据库上创建和修改角色和用户。由于userAdmin角色允许用户将任何权限授予任何用户，包括自己，因此该角色也间接提供了对数据库或，如果作用域为admin数据库，则对集群的超级用户访问权限。

userAdmin角色明确提供了以下操作

• changeCustomData

• changePassword

• createRole

• createUser

• dropRole

• dropUser

• grantRole

• revokeRole

• setAuthenticationRestriction

• viewRole

• viewUser

警告

理解授予 userAdmin 角色的安全影响非常重要：具有此角色数据库的用户可以为自己在该数据库上分配任何权限。在 admin 数据库上授予 userAdmin 角色具有进一步的安全影响，因为这间接提供了对集群的 超级用户 访问权限。具有 admin 范围的用户可以授予集群范围内的角色或权限，包括 userAdminAnyDatabase。

集群管理角色

admin 数据库包括以下角色，用于管理系统而不是单个数据库。这些角色包括但不限于 副本集 和 分片集群 管理功能。

clusterAdmin

提供最大的集群管理访问权限。此角色结合了由 clusterManager、clusterMonitor 和 hostManager 角色授予的权限。此外，该角色还提供了 dropDatabase 操作。

clusterManager

提供对集群的管理和监控操作。具有此角色的用户可以访问 config 和 local 数据库，分别用于分片和复制。此外，该角色还提供 querySettings 操作。

资源	操作
集群	添加分片 追加操作日志注解 应用程序消息 检查元数据一致性（自版本 7.0 新增） 清理孤儿 刷新路由器配置 获取集群参数 获取默认读写关注点 列出会话 列出分片 删除分片 副本集配置 副本集获取配置 副本集获取状态 副本集状态变化 重新同步 设置集群参数 设置默认读写关注点 设置功能兼容性版本 从专用配置服务器过渡 过渡到专用配置服务器
所有 数据库	clusterManager 为 config 和 local 数据库提供额外的权限。 清除大块标志 配置查询分析器 启用分片 移动数据块 精炼集合分片键 重新分片集合 clusterManager 为 config 和 local 数据库提供额外的权限。

在 config 数据库上，允许以下操作

资源	操作
config 数据库中所有非系统集合	collStats dbHash dbStats 启用分片 find insert killCursors listCollections listIndexes listSearchIndexes 移动数据块 planCacheRead remove update
system.js	collStats dbHash dbStats find killCursors listCollections listIndexes listSearchIndexes planCacheRead

在 local 数据库上，允许以下操作

资源	操作
local 数据库中所有非系统集合	启用分片 insert 移动数据块 remove update
system.replset 集合	collStats dbHash dbStats find killCursors listCollections listIndexes listSearchIndexes planCacheRead

clusterMonitor

提供对监控工具的只读访问权限，例如 MongoDB Cloud Manager 和 Ops Manager 监控代理。

允许在集群整体上进行以下操作

connPoolStats getCmdLineOpts 获取默认读写关注点 getLog getParameter getShardMap hostInfo inprog

listDatabases 列出会话 列出分片 副本集获取配置 副本集获取状态 serverStatus shardingState top

允许在集群中所有数据库上进行以下操作

• collStats

• dbStats

• indexStats

• useUUID

允许在集群中所有 find 操作的所有 system.profile 集合上。

在 config 数据库上，允许以下操作

资源	操作
config 数据库中所有非系统集合	collStats dbHash dbStats find indexStats killCursors listCollections listIndexes listSearchIndexes planCacheRead
system.js 集合	collStats dbHash dbStats find killCursors listCollections listIndexes planCacheRead

在 local 数据库上，允许以下操作

资源	操作
local 数据库中所有非系统集合	collStats dbHash dbStats find indexStats killCursors listCollections listIndexes listSearchIndexes planCacheRead
system.js 集合	collStats dbHash dbStats find killCursors listCollections listIndexes listSearchIndexes planCacheRead
system.replset, system.profile,	find

directShardOperations

从 MongoDB 8.0 版本开始，您可以使用 directShardOperations 角色执行需要对分片直接执行命令的维护操作。

警告

使用 directShardOperations 角色运行命令可能导致您的集群无法正常工作，并可能引起数据损坏。仅当进行维护操作或在 MongoDB 支持的指导下时，才使用 directShardOperations 角色进行操作。完成维护操作后，请停止使用 directShardOperations 角色。

enableSharding

提供为集合启用分片和修改现有分片键的能力。

对所有非系统集合提供以下操作：

• 启用分片

• 精炼集合分片键

• 重新分片集合

hostManager

提供监控和管理服务器的功能。

在整个集群上提供以下操作

应用程序消息 closeAllDatabases compact (从版本 7.3 开始) connPoolSync 刷新路由器配置 fsync

invalidateUserCache killAnyCursor killAnySession killop logRotate oidReset

重新同步 rotateCertificates (从版本 5.0 开始) setParameter shutdown touch unlock

在集群中的所有数据库上提供以下操作

• killCursors

备份和恢复角色

管理员数据库包含以下备份和恢复数据角色：

backup

提供备份数据所需的最小权限。此角色提供了使用 MongoDB Cloud Manager 备份代理、Ops Manager 备份代理或使用 mongodump 备份整个 mongod 实例的充分权限。

在 config 数据库的 settings 集合上提供 insert 和 update 操作。

在 anyResource 上提供

• listDatabases 操作

• listCollections 操作

• listIndexes 操作

• listSearchIndexes 操作

在整个 集群 上提供

• 追加操作日志注解

• getParameter

• listDatabases

• serverStatus

• setUserWriteBlockMode (自 MongoDB 6.0 开始)

在以下内容上提供 find 操作：

• 集群中所有非系统集合，包括 config 和 local 数据库中的集合

• 集群中的以下系统集合：

  system.js 和 system.profile

• admin.system.users 和 admin.system.roles 集合

• config.settings 集合

• 来自 MongoDB 2.6 之前版本的旧 system.users 集合

在 config.settings 集合上提供 insert 和 update 操作。

backup 角色提供了额外的权限，用于备份在运行 数据库分析 时存在的 system.profile 集合。

restore

在非系统集合上提供 convertToCapped 操作。

如果备份数据不包含 system.profile 集合数据，并且您在未使用 --oplogReplay 选项的情况下运行 mongorestore，则提供从备份中恢复数据所需的权限。

如果备份数据包含 system.profile 集合数据或您使用 --oplogReplay 运行，则需要额外的权限。

system.profile	如果备份数据包含system.profile集合数据，而目标数据库不包含该集合，则mongorestore会尝试创建该集合，尽管程序实际上并没有恢复system.profile文档。因此，用户需要额外的权限来在数据库的system.profile集合上执行createCollection和convertToCapped操作。 内置角色dbAdmin和dbAdminAnyDatabase提供了这些额外的权限。
--oplogReplay	要使用--oplogReplay运行，创建一个具有对anyAction权限的用户定义角色，并且这些权限应用于anyResource。 仅授予必须使用mongorestore与--oplogReplay的用户。

在整个集群上提供以下操作

• getParameter

在所有非系统集合上提供以下操作

• bypassDocumentValidation

• changeCustomData

• changePassword

• collMod

• convertToCapped

• createCollection

• createIndex

• createRole

• createSearchIndexes

• createUser

• dropCollection

• dropRole

• dropUser

• grantRole

• insert

• revokeRole

• updateSearchIndex

• viewRole

• viewUser

在system.js集合上提供以下操作

• bypassDocumentValidation

• collMod

• createCollection

• createIndex

• dropCollection

• insert

• updateSearchIndex

在anyResource上提供以下操作：

• listCollections

在config和local数据库上的所有非系统集合提供以下操作

• bypassDocumentValidation

• collMod

• createCollection

• createIndex

• dropCollection

• insert

• updateSearchIndex

在admin.system.version上提供以下操作

• bypassDocumentValidation

• collMod

• createCollection

• createIndex

• dropCollection

• find

• insert

• updateSearchIndex

在admin.system.roles上提供以下操作

• createIndex

在admin.system.users和传统的system.users集合上提供以下操作

• bypassDocumentValidation

• collMod

• createCollection

• createIndex

• dropCollection

• find

• insert

• remove

• update

• updateSearchIndex

尽管restore包括使用常规修改操作修改admin.system.users集合文档的能力，但请仅使用用户管理方法修改这些数据。

在<database>.system.views集合上提供以下操作

• dropCollection （从 MongoDB 7.2 开始使用）

在集群整体上，提供以下操作

• bypassWriteBlockingMode （从 MongoDB 6.0 开始使用）

• setUserWriteBlockMode (自 MongoDB 6.0 开始)

所有数据库角色

以下角色可在 admin 数据库中找到，并提供了适用于除 local 和 config 之外所有数据库的权限

readAnyDatabase

提供与在所有数据库（除了 local 和 config）上使用 read 相同的只读权限。该角色还提供了集群整体上的 listDatabases 操作。

有关访问 config 和 local 数据库的权限，请参阅 clusterManager 和 clusterMonitor 角色。

readWriteAnyDatabase

该角色提供与readWrite相同的权限，但除了本地数据库local和配置数据库config之外的所有数据库。该角色还提供

• 对集群整体的listDatabases操作

• compactStructuredEncryptionData操作

有关访问 config 和 local 数据库的权限，请参阅 clusterManager 和 clusterMonitor 角色。

userAdminAnyDatabase

提供与本地数据库和配置数据库之外所有数据库的userAdmin相同的用户管理操作权限。

userAdminAnyDatabase还提供以下集群上的权限操作

• authSchemaUpgrade

• invalidateUserCache

• listDatabases

该角色在system.users和system.roles集合上，以及admin数据库上的旧版MongoDB 2.6之前的system.users集合上提供以下权限操作

• collStats

• createIndex

• createSearchIndexes

• dbHash

• dbStats

• dropIndex

• dropSearchIndex

• find

• killCursors

• planCacheRead

角色 userAdminAnyDatabase 不限制用户可以授予的权限。因此，userAdminAnyDatabase 用户可以授予自己超出当前权限的权限，甚至可以授予自己 所有权限，尽管该角色没有明确授权超出用户管理的权限。这个角色实际上是一个 MongoDB 系统的 超级用户。

有关访问 config 和 local 数据库的权限，请参阅 clusterManager 和 clusterMonitor 角色。

dbAdminAnyDatabase

该角色提供与 dbAdmin 相同的权限，但除了 local 和 config 数据库之外的所有数据库。此外，该角色还提供在集群整体上的 listDatabases 操作。

有关访问 config 和 local 数据库的权限，请参阅 clusterManager 和 clusterMonitor 角色。

从 MongoDB 5.0 开始，dbAdminAnyDatabase 包括 applyOps 权限操作。

超级用户角色

一些角色提供间接或直接的全局超级用户访问权限。

以下角色提供在任意数据库上为任意用户分配任意权限的能力，这意味着拥有这些角色的用户可以在任意数据库上授予自己任意权限

• dbOwner 角色，当作用域为 admin 数据库时

• userAdmin 角色，当作用域为 admin 数据库时

• userAdminAnyDatabase 角色

以下角色提供了对所有资源的完全权限

root

提供对以下角色的操作和所有资源的访问权限 合并

• readWriteAnyDatabase

• dbAdminAnyDatabase

• userAdminAnyDatabase

• clusterAdmin

• restore

• backup

还提供以下权限操作

• validate 在 system. 集合。

• bypassDefaultMaxTimeMS，导致用户运行的所有查询都将忽略 defaultMaxTimeMS 的值。

已更改版本6.0: root 角色包括在 config 数据库中 system.preimages 集合上的 find 和 remove 权限。

内部角色

__system

MongoDB 将此角色分配给表示集群成员的用户对象，例如副本集成员和 mongos 实例。此角色使持有者有权对数据库中的任何对象采取任何行动。

不要 将此角色分配给表示应用程序或人类管理员的用户对象，除非在特殊情况之下。

如果您需要访问所有资源上的所有操作，例如运行 applyOps 命令，不要分配此角色。相反，创建一个用户定义的角色，该角色授予在 anyAction 上的 anyResource 权限，并确保只有需要访问这些操作的用户提供此访问权限。