MongoDB权限详解：角色与权限控制

“MongoDB 权限 角色 详细说明 - MongoDB 3.4 及以上版本的安全控制，包括对dbAdmin角色的清晰解释，基于官方文档翻译。” MongoDB 是一个流行的开源、分布式文档数据库，它重视数据安全性和权限管理。在 MongoDB 3.4 及更高版本中，权限控制通过角色分配来实现，确保用户只能执行其被授权的操作。本说明将详细介绍 MongoDB 的内置角色，特别关注可能导致误解的 dbAdmin 角色。 1. **环境与版本**： - MongoDB 版本：3.4 及以上 - 文档来源：官方文档（https://docs.mongodb.com/master/reference/built-in-roles/index.html） 2. **角色分类**： - **数据库使用者及管理者**：这类角色主要包括读取和写入数据、管理用户和其他数据库管理任务。 - **全数据库角色**：这些角色具有对所有数据库（不包括 local 和 config 数据库）的广泛权限。 - **超级权限角色**：拥有在任何数据库上执行任意权限操作的高级角色。 3. **角色详解**： - **read**：允许读取所有非系统数据库，以及特定系统数据库（system.indexes, system.js, system.namespaces）的数据。 - **readWrite**：在 read 角色基础上增加写入权限，包括插入、删除、更新数据。 - **dbAdmin**：数据库管理员角色，可以在特定数据库的 system.indexes, system.namespaces, system.profile 集合上执行统计、哈希、状态检查等操作，但不包含备份或恢复权限。 - **dbOwner**：在 admin 数据库中的角色，拥有对数据库的完全控制权，包括管理用户、读写数据以及执行管理操作。 - **userAdmin**：可以创建、修改和删除数据库内的用户。 - **userAdminAnyDatabase**：可以在任何数据库中管理用户。 - **root**：最高级别的角色，等同于 readWriteAnyDatabase, dbAdminAnyDatabase, userAdminAnyDatabase 的组合，拥有跨数据库的全面权限。 4. **权限操作**： - 不同角色允许的操作包括但不限于 collStats、dbHash、dbStats、find、killCursors、listIndexes、listCollections、createCollection、dropCollection、createIndex、dropIndex、insert、remove、renameCollectionSameDB、update 等。 5. **dbAdmin 角色**： 关于 dbAdmin 角色，重要的是理解它并不包含所有的数据库管理权限，比如备份、恢复或集群级别的操作。它主要用于数据库级别的监控和维护，而不涉及全局的系统管理。 6. **权限管理策略**： 在实际应用中，应根据需求分配最小权限的角色，避免使用过于广泛的权限，以增强系统的安全性。 MongoDB 的权限和角色机制提供了一种精细的方法来控制用户对数据库的访问。正确理解和配置这些角色是确保数据库安全的关键步骤。对于 dbAdmin 角色的误读可能会影响系统的安全性，因此了解其确切权限至关重要。