Roles

Tenemos que saber que a cada usuario se le pueden asignar uno o más roles. Los roles funcionan a nivel de base de datos.
Algunos de los roles más importantes son:

• read: solo se permite la lectura en la base de datos (find, listar índices, colecciones)
• readWrite: todos los de read y además permisos de escritura (creación y borrado de índices, drop, remove, update)
• dbAdmin: permisos de lectura sobre las bases de datos system.indexes, system.namespaces y system.profile y además permiso de creación borrado de índices y colecciones en cualquier base de datos (pero no permiso de lectura)
• dbOwer; cualquier acción administrativa en la base de datos
• userAdmin: manejo de usuarios
• clusterMonitor: lectura sobre las herramientas de monitorización
• hostManager: Puede modificar y administrar servidores
• clusterManager: manejo y moniorización del cluseter. Puede acceder a las bases de datos config y local
• clusterAdmin: permisos de clusterManager, clusterMonitor, hostManager y además la acción dropDatabase
• backup: privilegios para hacer backups (colección admin.mms.backup)
• restore: permiso para la recuperación de backups (mongorestore sin opción --oplogReplay)
• root: combina readWriteAnyDatabase, dbAdminAnyDatabase, userAdminAnyDatabase, clusterAdmin, y restore

Los roles: read, write, userAdmin, dbAdmin se aplican a una base de datos en concreto. También se dispone de versiones que se aplican a todas las bases de datos: readAnyDatabase, writeAnyDatabase, userAdminAnyDatabase, dbAdminAnyDatabase.