createRole

在本页面

• Definition

• Behavior

• Required Access

• Example

Definition

• createRole
  • 创建一个角色并指定其privileges。该角色适用于在其上运行命令的数据库。如果该角色已经存在于数据库中，则createRole命令将返回重复角色错误。

createRole命令使用以下语法：

{ createRole: "<new role>",
  privileges: [
    { resource: { <resource> }, actions: [ "<action>", ... ] },
    ...
  ],
  roles: [
    { role: "<role>", db: "<database>" } | "<role>",
    ...
  ],
  authenticationRestrictions: [
    {
      clientSource: ["<IP>" | "<CIDR range>", ...],
      serverAddress: ["<IP>" | "<CIDR range>", ...]
    },
    ...
  ],
  writeConcern: <write concern document>
}

createRole命令具有以下字段：

Field	Type	Description
createRole	string	新角色的名称。
privileges	array	授予角色的特权。特权由资源和允许的操作组成。有关特权的语法，请参见privileges数组。

您必须包含privileges字段。使用空数组指定* no 特权。
| roles | array |一个角色数组，此角色从中继承特权。
您必须包含roles字段。使用空数组指定要继承的 no *角色。
| authenticationRestrictions | array |可选。
服务器对角色强制执行的身份验证限制。指定允许授予此角色的用户连接和/或可以从其连接的 IP 地址和 CIDR 范围的列表。
3.6 版中的新功能。
| writeConcern |文档|可选。应用于此操作的write concern级别。 writeConcern文档使用与getLastError命令相同的字段。

Roles

在roles字段中，您可以同时指定built-in roles和user-defined roles。

要指定运行createRole的同一数据库中存在的角色，可以使用该角色的名称指定该角色：

"readWrite"

或者，您可以通过文档指定角色，如：

{ role: "<role>", db: "<database>" }

要指定存在于其他数据库中的角色，请与文档一起指定该角色。

Authentication Restrictions

3.6 版的新功能。

authenticationRestrictions文档可以仅包含以下字段。如果authenticationRestrictions文档包含无法识别的字段，服务器将引发错误：

Field Name	Value	Description
clientSource	IP 地址和/或 CIDR 范围的数组	如果存在，则在验证用户身份时，服务器将验证 Client 端的 IP 地址在给定列表中或属于列表中的 CIDR 范围。如果 Client 端的 IP 地址不存在，则服务器不会对用户进行身份验证。
serverAddress	IP 地址和/或 CIDR 范围的数组	Client 端可以连接的 IP 地址或 CIDR 范围的列表。如果存在，服务器将通过给定列表中的 IP 地址验证是否接受了 Client 端的连接。如果通过无法识别的 IP 地址接受了连接，则服务器不会对用户进行身份验证。

有关 MongoDB 中身份验证的更多信息，请参阅Authentication。

Behavior

角色的特权适用于创建角色的数据库。该角色可以从其数据库中的其他角色继承特权。在admin数据库上创建的角色可以包括适用于所有数据库或cluster的特权，并且可以从其他数据库中的角色继承特权。

Required Access

要在数据库中创建角色，您必须具有：

• database resource上的createRole action。

• 该数据库上的grantRole action来指定新角色的特权以及要继承的角色。

内置角色userAdmin和userAdminAnyDatabase在其各自的resources上提供createRole和grantRole动作。

要创建指定了authenticationRestrictions的角色，必须在创建该角色的database resource上具有setAuthenticationRestriction action。

Example

以下createRole命令在admin数据库上创建myClusterwideAdmin角色：

db.adminCommand({ createRole: "myClusterwideAdmin",
  privileges: [
    { resource: { cluster: true }, actions: [ "addShard" ] },
    { resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] },
    { resource: { db: "users", collection: "usersCollection" }, actions: [ "update", "insert", "remove" ] },
    { resource: { db: "", collection: "" }, actions: [ "find" ] }
  ],
  roles: [
    { role: "read", db: "admin" }
  ],
  writeConcern: { w: "majority" , wtimeout: 5000 }
})