Definición
db.updateRole( rolename, update, writeConcern )Actualizaciones a rol definido por el usuario. El
db.updateRole()El método debe ejecutarse en la base de datos del rol.Importante
Método mongosh
Esta página documenta un método
mongosh. Esta no es la documentación para los comandos de base de datos ni para los drivers específicos de lenguajes, como Nodo.js.Para el comando de base de datos, consulta el comando
updateRole.Para los drivers de API de MongoDB, consulte la documentación del driver de MongoDB específica del lenguaje.
Una actualización de un campo reemplaza completamente los valores del campo anterior. Para otorgar o eliminar roles o privilegios sin reemplazar todos los valores, utilice uno o más de los siguientes métodos:
Advertencia
Una actualización de la matriz
privilegesorolesreemplaza completamente los valores de la matriz anterior.El método utiliza la siguiente
db.updateRole()sintaxis:db.updateRole( "<rolename>", { privileges: [ { resource: { <resource> }, actions: [ "<action>", ... ] }, ... ], roles: [ { role: "<role>", db: "<database>" } | "<role>", ... ], authenticationRestrictions: [ { clientSource: ["<IP>" | "<CIDR range>", ...], serverAddress: ["<IP>", | "<CIDR range>", ...] }, ... ] }, { <writeConcern> } ) El método acepta los siguientes
db.updateRole()argumentos:ParameterTipoDescripciónrolenamestring
El nombre del rol definido por el usuario que se actualizará.
updateDocumento
Un documento que contiene los datos de reemplazo del rol. Estos datos reemplazan completamente los datos correspondientes.
writeConcernDocumento
Opcional. El nivel de confirmación de escritura (write concern) de la operación. Consulte Especificación de nivel de confirmación de escritura (write concern).
El documento
updateespecifica los campos que se actualizarán y los nuevos valores. Cada campo del documentoupdatees opcional, pero el documento debe incluir al menos un campo. El documentoupdatetiene los siguientes campos:CampoTipoDescripciónprivilegesarreglo
Opcional. Obligatorio si no se especifica la matriz. Los privilegios para otorgar el rol. Una actualización de
roleslaprivilegesmatriz anula los valores de la matriz anterior. Para conocer la sintaxis para especificar un privilegio, consulte laprivilegesmatriz.rolesarreglo
Opcional. Obligatorio si no
privilegesse especifica la matriz. Los roles de los que este rol hereda privilegios. Una actualización de larolesmatriz anula los valores de la matriz anterior.authenticationRestrictionsarreglo
Opcional.
Las restricciones de autenticación que el servidor aplica al rol. Especifica una lista de direcciones IP y Los rangosCIDR a los que se les otorga este rol pueden conectarse y/o desde los cuales pueden conectarse.
El método
db.updateRole()envuelve el comandoupdateRole.
Compatibilidad
Este método está disponible en implementaciones alojadas en los siguientes entornos:
Importante
Este comando no es compatible con los clústeres de MongoDB Atlas. Para obtener información sobre el soporte de Atlas para todos los comandos, consulta Comandos no compatibles.
MongoDB Enterprise: La versión basada en suscripción y autogestionada de MongoDB
MongoDB Community: La versión de MongoDB con código fuente disponible, de uso gratuito y autogestionada.
Roles
En el campo roles, puede especificar tanto roles de funcionalidad incorporada como roles definidos por el usuario.
Para especificar un rol que existe en la misma base de datos donde se ejecuta db.updateRole(), puedes especificar el rol utilizando el nombre del rol:
"readWrite"
O puede especificar el rol con un documento, como en:
{ role: "<role>", db: "<database>" }
Para especificar un rol que existe en una base de datos diferente, especifique el rol mediante un documento.
Restricciones de autenticación
El documento authenticationRestrictions solo puede contener los campos siguientes. El servidor genera un error si el documento authenticationRestrictions contiene un campo no reconocido:
Nombre de campo | Valor | Descripción |
|---|---|---|
| Arreglo de direcciones IP y/o rangos CIDR | Si está presente, al autenticar a un usuario, el servidor verifica que la dirección IP del cliente esté en la lista proporcionada o que pertenezca a un rango CIDR de la lista. Si la dirección IP del cliente no está presente, el servidor no autentica al usuario. |
| Arreglo de direcciones IP y/o rangos CIDR | Una lista de direcciones IP o rangos CIDR a los que el cliente puede conectarse. Si está presente, el servidor verificará que la conexión del cliente haya sido aceptada mediante una dirección IP de la lista proporcionada. Si la conexión fue aceptada desde una dirección IP no reconocida, el servidor no autentica al usuario. |
Importante
Si un usuario hereda múltiples roles con restricciones de autenticación incompatibles, ese usuario se vuelve inutilizable.
Por ejemplo, si un usuario hereda un rol en el que el campo clientSource es ["198.51.100.0"] y otro rol en el que el campo clientSource es ["203.0.113.0"], el servidor no puede autenticar al usuario.
Para obtener más información sobre la autenticación en MongoDB, consulta Autenticación en implementaciones autogestionadas.
Comportamiento
Set de réplicas
Si se ejecuta en un set de réplicas, db.updateRole() se ejecuta utilizando el nivel de confirmación de escritura "majority" por defecto.
Alcance
Excepto por los roles creados en la base de datos admin, un rol solo puede incluir privilegios que se aplican a su base de datos y solo puede heredar de otros roles en su base de datos.
Un rol creado en la base de datos admin puede incluir privilegios que se aplican a la base de datos admin, a otras bases de datos o al recurso clúster, y puede heredar de roles en otras bases de datos, así como de la base de datos admin.
Privilegios
Cuando especifica la privileges matriz, puede especificar privilegios para aplicar a múltiples colecciones en una base de datos o a una base de datos completa.
La siguiente sintaxis especifica privilegios en múltiples colecciones en la base de datos products.
privileges: [ { resource: { db: 'products', collection: 'coll1' }, actions: [ 'bypassDocumentValidation' ] }, { resource: { db: 'products', collection: 'coll2' }, actions: [ 'bypassDocumentValidation' ] } ]
La siguiente sintaxis especifica privilegios en todas las colecciones en la base de datos products.
privileges: [ { resource: { db: 'products', collection: '' }, actions: [ 'bypassDocumentValidation' ] } ]
Acceso requerido
Debe tener la revokeRole acción en todas las bases de datos para poder actualizar un rol.
Debe tener la grantRole acción en la base de datos de cada rol en la roles matriz para actualizar la matriz.
Debe tener la grantRole acción en la base de datos de cada privilegio de la privileges matriz para actualizarla. Si el recurso de un privilegio abarca varias bases de datos, debe tener en grantRole la admin base de datos. Un privilegio abarca varias bases de datos si cumple alguno de los siguientes requisitos:
una colección en todas las bases de datos
Todas las colecciones y todas las bases de datos
el recurso
cluster
Debe tener la setAuthenticationRestriction acción en la base de datos del rol de destino para actualizar el authenticationRestrictions documento de un rol.
Ejemplo
El siguiente db.updateRole() método reemplaza y para privileges roles el inventoryControl rol existente en la products base de datos. El método se ejecuta en la base de datos que inventoryControl contiene:
use products db.updateRole( "inventoryControl", { privileges: [ { resource: { db:"products", collection:"clothing" }, actions: [ "update", "createCollection", "createIndex"] } ], roles: [ { role: "read", db: "products" } ] }, { w:"majority" } )
Para ver los privilegios de un rol, utilice el rolesInfo comando.