Docs4dev
Docs
mongodb / v3.6 / reference / reference-command-createRole.html

createRole

在本页面

Definition

  • createRole
    • 创建一个角色并指定其privileges。该角色适用于在其上运行命令的数据库。如果该角色已经存在于数据库中,则createRole命令将返回重复角色错误。

createRole命令使用以下语法:

{ createRole: "<new role>",
  privileges: [
    { resource: { <resource> }, actions: [ "<action>", ... ] },
    ...
  ],
  roles: [
    { role: "<role>", db: "<database>" } | "<role>",
    ...
  ],
  authenticationRestrictions: [
    {
      clientSource: ["<IP>" | "<CIDR range>", ...],
      serverAddress: ["<IP>" | "<CIDR range>", ...]
    },
    ...
  ],
  writeConcern: <write concern document>
}

createRole命令具有以下字段:

Field Type Description
createRole string 新角色的名称。
privileges array 授予角色的特权。特权由资源和允许的操作组成。有关特权的语法,请参见privileges数组。


您必须包含privileges字段。使用空数组指定* no 特权。
| roles | array |一个角色数组,此角色从中继承特权。
您必须包含roles字段。使用空数组指定要继承的 no *角色。
| authenticationRestrictions | array |可选。
服务器对角色强制执行的身份验证限制。指定允许授予此角色的用户连接和/或可以从其连接的 IP 地址和 CIDR 范围的列表。
3.6 版中的新功能。
| writeConcern |文档|可选。应用于此操作的write concern级别。 writeConcern文档使用与getLastError命令相同的字段。

Roles

roles字段中,您可以同时指定built-in rolesuser-defined roles

要指定运行createRole的同一数据库中存在的角色,可以使用该角色的名称指定该角色:

"readWrite"

或者,您可以通过文档指定角色,如:

{ role: "<role>", db: "<database>" }

要指定存在于其他数据库中的角色,请与文档一起指定该角色。

Authentication Restrictions

3.6 版的新功能。

authenticationRestrictions文档可以仅包含以下字段。如果authenticationRestrictions文档包含无法识别的字段,服务器将引发错误:

Field Name Value Description
clientSource IP 地址和/或 CIDR 范围的数组 如果存在,则在验证用户身份时,服务器将验证 Client 端的 IP 地址在给定列表中或属于列表中的 CIDR 范围。如果 Client 端的 IP 地址不存在,则服务器不会对用户进行身份验证。
serverAddress IP 地址和/或 CIDR 范围的数组 Client 端可以连接的 IP 地址或 CIDR 范围的列表。如果存在,服务器将通过给定列表中的 IP 地址验证是否接受了 Client 端的连接。如果通过无法识别的 IP 地址接受了连接,则服务器不会对用户进行身份验证。

Important

如果用户继承具有不兼容身份验证限制的多个角色,则该用户将变得无法使用。

例如,如果用户继承一个角色,其中clientSource字段是["198.51.100.0"],而另一个角色则继承clientSource字段是["203.0.113.0"],则服务器将无法对该用户进行身份验证。

有关 MongoDB 中身份验证的更多信息,请参阅Authentication

Behavior

角色的特权适用于创建角色的数据库。该角色可以从其数据库中的其他角色继承特权。在admin数据库上创建的角色可以包括适用于所有数据库或cluster的特权,并且可以从其他数据库中的角色继承特权。

Required Access

要在数据库中创建角色,您必须具有:

内置角色userAdminuserAdminAnyDatabase在其各自的resources上提供createRolegrantRole动作。

要创建指定了authenticationRestrictions的角色,必须在创建该角色的database resource上具有setAuthenticationRestriction action

Example

以下createRole命令在admin数据库上创建myClusterwideAdmin角色:

db.adminCommand({ createRole: "myClusterwideAdmin",
  privileges: [
    { resource: { cluster: true }, actions: [ "addShard" ] },
    { resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] },
    { resource: { db: "users", collection: "usersCollection" }, actions: [ "update", "insert", "remove" ] },
    { resource: { db: "", collection: "" }, actions: [ "find" ] }
  ],
  roles: [
    { role: "read", db: "admin" }
  ],
  writeConcern: { w: "majority" , wtimeout: 5000 }
})