Papéis integrados

Roles do utilizador de banco de dados

Cada banco de dados inclui as seguintes roles de cliente:

read

Fornece a capacidade de ler dados em todas as collections que não são do sistema e na collection system.js.

Observação

A função não oferece privilégios para acessar diretamente a coleção system.namespaces diretamente.

A role fornece acesso de leitura ao conceder as seguintes ações:

• changeStream

• collStats

• dbHash

• dbStats

• find

• killCursors

• listCollections

• listIndexes

• listSearchIndexes

Se o usuário não tiver a ação de privilégio listDatabases, poderá executar o comando listDatabases para retornar uma lista de bancos de dados nos quais o usuário tem privilégios (incluindo bancos de dados nos quais o usuário tem privilégios em collections específicas) se o comando for executado com a opção authorizedDatabases não especificada ou definida como true.

readWrite

Fornece todos os privilégios da função read além da capacidade de modificar dados em todas as coleções que não sejam do sistema e na coleção system.js.

A role fornece as seguintes ações nessas collections:

• changeStream

• collStats

• convertToCapped

• createCollection

• createIndex

• createSearchIndexes

• dbHash

• dbStats

• dropCollection

• dropIndex

• dropSearchIndex

• find

• insert

• killCursors

• listCollections

• listIndexes

• listSearchIndexes

• remove

• renameCollectionSameDB

• update

• updateSearchIndex

Roles de administração do banco de dados

Cada banco de dados inclui as seguintes roles de administração do banco de dados:

dbAdmin

Fornece a capacidade de executar tarefas administrativas, como tarefas relacionadas a esquema, indexação e coleta de estatísticas. Esta role não concede privilégios para gerenciamento de usuários e roles.

Especificamente, a role fornece os seguintes privilégios:

Resource	Ações permitidas
system.profile	changeStream collStats convertToCapped createCollection dbHash dbStats dropCollection find killCursors listCollections listIndexes listSearchIndexes planCacheRead
Todas as collections que não são do sistema (ou seja, recurso de banco de dados)	bypassDocumentValidation collMod collStats compact convertToCapped createCollection createIndex createSearchIndexes dbStats dropCollection dropDatabase dropIndex dropSearchIndex enableProfiler listCollections listIndexes listSearchIndexes planCacheIndexFilter planCacheRead planCacheWrite reIndex renameCollectionSameDB updateSearchIndex validate Para essas collections, odbAdmin não inclui acesso total de leitura (ou seja, find).

dbOwner

O proprietário do banco de dados pode executar qualquer ação administrativa no banco de dados. Esta função combina os privilégios concedidos pelas funções readWrite, dbAdmin e userAdmin.

userAdmin

Fornece a capacidade de criar e modificar funções e usuários no banco de dados atual. Como a função userAdmin permite que os usuários concedam qualquer privilégio a qualquer usuário, inclusive a si mesmos, a função também fornece indiretamente acesso de superusuário ao banco de dados ou, se o escopo for o banco de dados admin, ao cluster.

A função userAdmin oferece explicitamente as seguintes ações:

• changeCustomData

• changePassword

• createRole

• createUser

• dropRole

• dropUser

• grantRole

• revokeRole

• setAuthenticationRestriction

• viewRole

• viewUser

Aviso

É importante entender as implicações de segurança da concessão da função userAdmin: um usuário com essa função para um banco de dados pode atribuir a si mesmo qualquer privilégio nesse banco de dados. Conceder a função userAdmin no banco de dados admin tem outras implicações de segurança, pois isso fornece indiretamente acesso de superusuário a um cluster. Com o escopo admin, um usuário com a função userAdmin pode conceder funções ou privilégios em todo o cluster, inclusive userAdminAnyDatabase.

Roles de administração de cluster

O banco de dados admin inclui as seguintes roles para administrar todo o sistema, em vez de apenas um único banco de dados. Essas roles incluem, mas não estão limitadas a, conjunto de réplicas e roles administrativas de cluster fragmentado.

clusterAdmin

Fornece o melhor acesso ao gerenciamento de clusters. Esta função combina os privilégios concedidos pelas funções clusterManager, clusterMonitor e hostManager. Além disso, a função fornece a ação dropDatabase.

clusterManager

Fornece ações de gerenciamento e monitoramento no cluster. Um usuário com esta role pode acessar os bancos de dados config e local, que são utilizados na fragmentação e replicação, respectivamente.

Resource	Ações
cluster	addShard appendOplogNote applicationMessage checkMetadataConsistency (Novo na versão 7.0) cleanupOrphaned flushRouterConfig getClusterParameter getDefaultRWConcern listSessions listShards removeShard replSetConfigure replSetGetConfig replSetGetStatus replSetStateChange resync setClusterParameter setDefaultRWConcern setFeatureCompatibilityVersion
Todos databases	analyzeShardKey (Novo na versão 7.0) clearJumboFlag configureQueryAnalyzer enableSharding moveChunk refineCollectionShardKey reshardCollection clusterManager fornece privilégios adicionais para os bancos config de local dados e.

No banco de dados config, permite as seguintes ações:

Resource	Ações
Todas as collections que não são do sistema no banco de dados config	collStats dbHash dbStats enableSharding find insert killCursors listCollections listIndexes listSearchIndexes moveChunk planCacheRead remove update
system.js	collStats dbHash dbStats find killCursors listCollections listIndexes listSearchIndexes planCacheRead

No banco de dados local, permite as seguintes ações:

Resource	Ações
Todas as collections que não são do sistema no banco de dados local	enableSharding insert moveChunk remove update
system.replset collection	collStats dbHash dbStats find killCursors listCollections listIndexes listSearchIndexes planCacheRead

clusterMonitor

Fornece acesso somente leitura a ferramentas de monitoramento, como o agente de monitoramento do MongoDB Cloud Manager e do Ops Manager.

Permite as seguintes ações no cluster como um todo:

connPoolStats getCmdLineOpts getDefaultRWConcern getLog getParameter getShardMap hostInfo inprog

listDatabases listSessions listShards replSetGetConfig replSetGetStatus serverStatus shardingState top

Permite as seguintes ações em todos os bancos de dados do cluster:

• collStats

• dbStats

• indexStats

• useUUID

Permite a ação find em todas as collections system.profile no cluster.

No banco de dados config, permite as seguintes ações:

Resource	Ações
Todas as collections que não são do sistema no banco de dados config	collStats dbHash dbStats find indexStats killCursors listCollections listIndexes listSearchIndexes planCacheRead
system.js collection	collStats dbHash dbStats find killCursors listCollections listIndexes planCacheRead

No banco de dados local, permite as seguintes ações:

Resource	Ações
Todas as collections que não são do sistema no banco de dados local	collStats dbHash dbStats find indexStats killCursors listCollections listIndexes listSearchIndexes planCacheRead
system.js collection	collStats dbHash dbStats find killCursors listCollections listIndexes listSearchIndexes planCacheRead
system.replset, system.profile,	find

enableSharding

Fornece a capacidade de habilitar a fragmentação para uma coleção e modificar chaves de fragmento existentes.

Fornece as seguintes ações em todas as coleções que não são do sistema:

• analyzeShardKey

• enableSharding

• refineCollectionShardKey

• reshardCollection

hostManager

Oferece a capacidade de monitorar e gerenciar servidores.

No cluster como um todo, fornece as seguintes ações:

applicationMessage closeAllDatabases connPoolSync flushRouterConfig fsync invalidateUserCache

killAnyCursor killAnySession killop logRotate oidReset resync

rotateCertificates (Novidade na versão 5.0) setParameter shutdown touch unlock

Em todos os bancos de dados do cluster, fornece as seguintes ações:

• killCursors

Roles de backup e restauração

O banco de dados admin inclui as seguintes roles para backup e restauração de dados:

backup

Fornece os privilégios mínimos necessários para fazer backup dos dados. Essa função fornece privilégios suficientes para usar o agente de backup do MongoDB Cloud Manager, o agente de backup do Ops Manager ou usar mongodump para fazer backup de uma instância mongod inteira.

Fornece as ações insert e update na collection settings no banco de dados config.

Em anyResource, fornece o

• listDatabases ação

• listCollections ação

• listIndexes ação

• listSearchIndexes ação

No cluster como um todo, fornece

• appendOplogNote

• getParameter

• listDatabases

• serverStatus

• setUserWriteBlockMode (A partir do MongoDB 6.0)

Fornece a ação find no seguinte:

• todas as collections não relacionadas ao sistema no cluster, incluindo aquelas nos bancos de dados config e local

• As seguintes collections de sistema no cluster:

  system.js, e system.profile

• As collections admin.system.users e admin.system.roles

• A collection config.settings

• Collections system.users herdadas de versões do MongoDB anteriores à 2.6

Fornece as ações insert e update na collection config.settings.

A função backup fornece privilégios adicionais para fazer backup da coleção system.profile existente durante a execução da criação de perfil do banco de dados.

restore

Fornece convertToCapped em collections não relacionadas ao sistema.

Fornece os privilégios necessários para restaurar dados de backups se eles não incluírem os dados da coleção system.profile e você executar o mongorestore sem a opção --oplogReplay.

Se o backup de dados incluir dados de coleção do system.profile ou se executar com --oplogReplay, você precisará de privilégios adicionais:

system.profile

Se os dados de backup incluírem dados de coleção system.profile e o banco de dados de destino não contiver a coleção system.profile, mongorestore tentará criar a coleção mesmo que o programa não restaure documentos system.profile. Como tal, o usuário requer privilégios adicionais para executar createCollection e convertToCapped ações na coleção system.profile para um banco de dados. As funções incorporadas dbAdmin e dbAdminAnyDatabase fornecem os privilégios adicionais.

--oplogReplay

Para executar com --oplogReplay, crie uma função definida pelo usuário que tenha anyAction em anyResource. Conceda somente aos usuários que devem executar mongorestore com --oplogReplay.

Fornece a seguinte ação no cluster como um todo:

• getParameter

Fornece as seguintes ações em todas as collections que não são do sistema:

• bypassDocumentValidation

• changeCustomData

• changePassword

• collMod

• convertToCapped

• createCollection

• createIndex

• createRole

• createSearchIndexes

• createUser

• dropCollection

• dropRole

• dropUser

• grantRole

• insert

• revokeRole

• updateSearchIndex

• viewRole

• viewUser

Fornece as seguintes ações na collection system.js :

• bypassDocumentValidation

• collMod

• createCollection

• createIndex

• dropCollection

• insert

• updateSearchIndex

Fornece a seguinte ação em anyResource:

• listCollections

Fornece as seguintes ações em todas as collections não relacionadas ao sistema no config e nos bancos de dados local:

• bypassDocumentValidation

• collMod

• createCollection

• createIndex

• dropCollection

• insert

• updateSearchIndex

Fornece as seguintes ações em admin.system.version

• bypassDocumentValidation

• collMod

• createCollection

• createIndex

• dropCollection

• find

• insert

• updateSearchIndex

Fornece a seguinte ação em admin.system.roles

• createIndex

Fornece as seguintes ações em collections admin.system.users e system.users herdadas:

• bypassDocumentValidation

• collMod

• createCollection

• createIndex

• dropCollection

• find

• insert

• remove

• update

• updateSearchIndex

Embora restore inclua a capacidade de modificar os documentos da coleção admin.system.users usando operações normais de modificação, modifique esses dados somente usando os métodos de gerenciamento de usuários.

Fornece a seguinte ação na collection <database>.system.views:

• dropCollection (A partir do MongoDB 6.0)

No cluster como um todo, fornece as seguintes ações:

• bypassWriteBlockingMode (A partir do MongoDB 6.0)

• setUserWriteBlockMode (A partir do MongoDB 6.0)

Roles de todos os bancos de dados

As roles a seguir estão disponíveis no banco de dados admin e fornecem privilégios que se aplicam a todos os bancos de dados, exceto local e config:

readAnyDatabase

Fornece os mesmos privilégios somente leitura que read em todos os bancos de dados, exceto local e config. A função também fornece a ação listDatabases no cluster como um todo.

Consulte também as funções clusterManager e clusterMonitor para obter acesso aos bancos de dados config e local.

readWriteAnyDatabase

Fornece os mesmos privilégios que readWrite em todos os bancos de dados, exceto local e config. A função também oferece:

• a ação listDatabases no cluster como um todo

• a ação compactStructuredEncryptionData

Consulte também as funções clusterManager e clusterMonitor para obter acesso aos bancos de dados config e local.

userAdminAnyDatabase

Fornece o mesmo acesso às operações de administração do usuário como userAdmin em todos os bancos de dados, exceto local e config.

userAdminAnyDatabase também fornece as seguintes ações de privilégio no cluster:

• authSchemaUpgrade

• invalidateUserCache

• listDatabases

A role fornece as seguintes ações de privilégio nas collections system.users e system.roles no banco de dados admin e nas collections system.users herdadas de versões do MongoDB anteriores à 2.6:

• collStats

• createIndex

• createSearchIndexes

• dbHash

• dbStats

• dropIndex

• dropSearchIndex

• find

• killCursors

• planCacheRead

A função userAdminAnyDatabase não restringe os privilégios que um usuário pode conceder. Como resultado, os usuários userAdminAnyDatabase podem conceder a si mesmos privilégios além dos atuais e até mesmo conceder a si mesmos todos os privilégios, mesmo que a função não autorize explicitamente privilégios além da administração do usuário. Essa função é efetivamente um superusuário do sistema MongoDB.

Consulte também as funções clusterManager e clusterMonitor para obter acesso aos bancos de dados config e local.

dbAdminAnyDatabase

Fornece os mesmos privilégios que dbAdmin em todos os bancos de dados, exceto local e config. A função também fornece a ação listDatabases no cluster como um todo.

Consulte também as funções clusterManager e clusterMonitor para obter acesso aos bancos de dados config e local.

A partir do MongoDB 5.0, dbAdminAnyDatabase inclui a ação de privilégio applyOps.

Roles de superusuário

Várias roles fornecem acesso indireto ou direto ao superusuário em todo o sistema.

As roles a seguir permitem atribuir a qualquer usuário qualquer privilégio em qualquer banco de dados, o que significa que os usuários com uma dessas roles podem atribuir a si mesmos qualquer privilégio em qualquer banco de dados:

• A função dbOwner, quando definido o escopo para o banco de dados admin

• A função userAdmin, quando definido o escopo para o banco de dados admin

• userAdminAnyDatabase papel

A seguinte role fornece privilégios totais em todos os recursos:

root

Fornece acesso às operações e a todos os recursos das seguintes roles combinadas:

• readWriteAnyDatabase

• dbAdminAnyDatabase

• userAdminAnyDatabase

• clusterAdmin

• restore

• backup

Também fornece a ação de privilégio validate em collections system..

Alterado na versão 6.0: A role root inclui privilégios find e remove na collection system.preimages no banco de dados config.

Role interna

__system

O MongoDB atribui essa role a objetos de usuário que representam nós do cluster, como nós do conjunto de réplicas e instâncias mongos. A role garante ao seu titular o direito de tomar qualquer ação contra qualquer objeto do banco de dados.

Não atribua essa role a objetos de usuário que representam aplicativos ou administradores humanos, exceto em circunstâncias excepcionais.

Se você precisar de acesso a todas as ações em todos os recursos, por exemplo, para executar comandos applyOps, não atribua essa role. Em vez disso, crie uma role definida pelo usuário que conceda anyAction em anyResource e garanta que somente os usuários que precisam de acesso a essas operações tenham esse acesso.