Definición
createRoleCrea un rol y especifica su privilegios. El rol se aplica a la base de datos en la que se ejecuta el comando. El
createRoleEl comando devuelve un error de rol duplicado si el rol ya existe en la base de datos.Tip
mongoshEn, este comando también se puede ejecutar a través del métododb.createRole()auxiliar.Los métodos asistente son convenientes para usuarios de
mongosh, pero es posible que no proporcionen el mismo nivel de información que los comandos de base de datos. En los casos en que no se necesite la conveniencia o se requieran campos de retorno adicionales, utiliza el comando de base de datos.
Compatibilidad
Este comando está disponible en implementaciones alojadas en los siguientes entornos:
MongoDB Enterprise: La versión basada en suscripción y autogestionada de MongoDB
MongoDB Community: La versión de MongoDB con código fuente disponible, de uso gratuito y autogestionada.
Importante
Este comando no es compatible con los clústeres de MongoDB Atlas. Para obtener información sobre el soporte de Atlas para todos los comandos, consulta Comandos no compatibles.
Sintaxis
El comando tiene la siguiente sintaxis:
db.adminCommand( { createRole: "<new role>", privileges: [ { resource: { <resource> }, actions: [ "<action>", ... ] }, ... ], roles: [ { role: "<role>", db: "<database>" } | "<role>", ... ], authenticationRestrictions: [ { clientSource: ["<IP>" | "<CIDR range>", ...], serverAddress: ["<IP>" | "<CIDR range>", ...] }, ... ], writeConcern: <write concern document>, comment: <any> } )
Campos de comandos
El comando tiene los siguientes createRole campos:
Campo | Tipo | Descripción |
|---|---|---|
| string | El nombre del nuevo rol. |
| arreglo | Los privilegios para otorgar el rol. Un privilegio consta de un recurso y las acciones permitidas. Para conocer la sintaxis de un privilegio, consulte la Debe incluir el |
| arreglo | Una serie de roles de los cuales este rol hereda privilegios. Debe incluir el |
| arreglo | Opcional. Las restricciones de autenticación que el servidor aplica al rol. Especifica una lista de direcciones IP y Los rangosCIDR a los que se les otorga este rol pueden conectarse y/o desde los cuales pueden conectarse. |
| Documento | Opcional. El nivel de confirmación de escritura (write concern) de la operación. Consulte Especificación de nivel de confirmación de escritura (write concern). |
| any | Opcional. Un comentario proporcionado por el usuario para adjuntar a este comando. Una vez configurado, este comentario aparece junto a los registros de este comando en las siguientes ubicaciones:
Un comentario puede ser de cualquier tipo BSON válido (string, objeto, arreglo, etc.). |
Roles
En el campo roles, puede especificar tanto roles de funcionalidad incorporada como roles definidos por el usuario.
Para especificar un rol que existe en la misma base de datos donde se ejecuta createRole, puedes especificar el rol utilizando el nombre del rol:
"readWrite"
O puede especificar el rol con un documento, como en:
{ role: "<role>", db: "<database>" }
Para especificar un rol que existe en una base de datos diferente, especifique el rol mediante un documento.
Restricciones de autenticación
El documento authenticationRestrictions solo puede contener los campos siguientes. El servidor genera un error si el documento authenticationRestrictions contiene un campo no reconocido:
Nombre de campo | Valor | Descripción |
|---|---|---|
| Arreglo de direcciones IP y/o rangos CIDR | Si está presente, al autenticar a un usuario, el servidor verifica que la dirección IP del cliente esté en la lista proporcionada o que pertenezca a un rango CIDR de la lista. Si la dirección IP del cliente no está presente, el servidor no autentica al usuario. |
| Arreglo de direcciones IP y/o rangos CIDR | Una lista de direcciones IP o rangos CIDR a los que el cliente puede conectarse. Si está presente, el servidor verificará que la conexión del cliente haya sido aceptada mediante una dirección IP de la lista proporcionada. Si la conexión fue aceptada desde una dirección IP no reconocida, el servidor no autentica al usuario. |
Importante
Si un usuario hereda múltiples roles con restricciones de autenticación incompatibles, ese usuario se vuelve inutilizable.
Por ejemplo, si un usuario hereda un rol en el que el campo clientSource es ["198.51.100.0"] y otro rol en el que el campo clientSource es ["203.0.113.0"], el servidor no puede autenticar al usuario.
Para obtener más información sobre la autenticación en MongoDB, consulta Autenticación en implementaciones autogestionadas.
Comportamiento
Los privilegios de un rol se aplican a la base de datos donde se creó. El rol puede heredar privilegios de otros roles en su base de datos. Un rol creado en la admin base de datos puede incluir privilegios que se aplican a todas las bases de datos o al clúster, y puede heredar privilegios de roles en otras bases de datos.
Acceso requerido
Para crear un rol en una base de datos, se debe tener:
la acción
createRolesobre ese recurso de base de datos.la acción
grantRoleen esa base de datos para especificar los privilegios del nuevo rol, así como para especificar los roles de los que heredará.
Los roles de funcionalidad incorporada userAdmin y userAdminAnyDatabase proporcionan acciones createRole y grantRole sobre sus respectivos recursos.
Para crear un rol con authenticationRestrictions especificado, debes tener la acción setAuthenticationRestriction sobre el recurso de base de datos en el que se crea el rol.
Ejemplo
El siguiente comando crea createRole el myClusterwideAdmin rol en la admin base de datos:
db.adminCommand({ createRole: "myClusterwideAdmin", privileges: [ { resource: { cluster: true }, actions: [ "addShard" ] }, { resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] }, { resource: { db: "users", collection: "usersCollection" }, actions: [ "update", "insert", "remove" ] }, { resource: { db: "", collection: "" }, actions: [ "find" ] } ], roles: [ { role: "read", db: "admin" } ], writeConcern: { w: "majority" , wtimeout: 5000 } })