Definición
db.updateRole( rolename, update, writeConcern )Updates a rol definido por el usuario. El método
db.updateRole()debe ejecutarse en la base de datos del rol.Importante
Método mongosh
Esta página documenta un método
mongosh. Esta no es la documentación para los comandos de base de datos ni para los drivers específicos de lenguajes, como Nodo.js.Para el comando de base de datos, consulta el comando
updateRole.Para los drivers de API de MongoDB, consulte la documentación del driver de MongoDB específica del lenguaje.
Una actualización de un campo reemplaza completamente los valores del campo anterior. Para otorgar o eliminar roles o privilegios sin reemplazar todos los valores, utilice uno o más de los siguientes métodos:
Advertencia
Una actualización de la matriz
privilegesorolesreemplaza completamente los valores de la matriz anterior.El
db.updateRole()método utiliza la siguiente sintaxis:db.updateRole( "<rolename>", { privileges: [ { resource: { <resource> }, actions: [ "<action>", ... ] }, ... ], roles: [ { role: "<role>", db: "<database>" } | "<role>", ... ], authenticationRestrictions: [ { clientSource: ["<IP>" | "<CIDR range>", ...], serverAddress: ["<IP>", | "<CIDR range>", ...] }, ... ] }, { <writeConcern> } ) El método
db.updateRole()acepta los siguientes argumentos:ParameterTipoDescripciónrolenamestring
El nombre del rol definido por el usuario que se actualizará.
updateDocumento
Un documento que contiene los datos de reemplazo para el rol. Estos datos reemplazan completamente los datos correspondientes para el rol.
writeConcernDocumento
Opcional. El nivel de confirmación de escritura (write concern) de la operación. Consulte Especificación de nivel de confirmación de escritura (write concern).
El documento
updateespecifica los campos que se deben actualizar y los nuevos valores. Cada campo en el documentoupdatees opcional, pero el documento debe incluir al menos un campo. El documentoupdatecontiene los siguientes campos:CampoTipoDescripciónprivilegesarreglo
opcional. Se requiere si no especifica el
rolesarreglo. Los privilegios para otorgar el rol. Una actualización del arregloprivilegesanula los valores anteriores del arreglo. Para conocer la sintaxis para especificar un privilegio, consulte elprivilegesarreglo.rolesarreglo
opcional. Se requiere si no especifica el
privilegesarreglo. Los roles de los cuales este rol hereda privilegios. Una actualización en el arreglorolesanula los valores anteriores del arreglo.authenticationRestrictionsarreglo
Opcional.
Las restricciones de autenticación que el servidor aplica al rol. Especifica una lista de direcciones IP y Los rangosCIDR a los que se les otorga este rol pueden conectarse y/o desde los cuales pueden conectarse.
El método
db.updateRole()envuelve el comandoupdateRole.
Compatibilidad
Este método está disponible en implementaciones alojadas en los siguientes entornos:
Importante
Este comando no es compatible con los clústeres de MongoDB Atlas. Para obtener información sobre el soporte de Atlas para todos los comandos, consulta Comandos no compatibles.
MongoDB Enterprise: La versión basada en suscripción y autogestionada de MongoDB
MongoDB Community: La versión de MongoDB con código fuente disponible, de uso gratuito y autogestionada.
Roles
En el campo roles, puede especificar tanto roles de funcionalidad incorporada como roles definidos por el usuario.
Para especificar un rol que existe en la misma base de datos donde se ejecuta db.updateRole(), puedes especificar el rol utilizando el nombre del rol:
"readWrite"
O puede especificar el rol con un documento, como en:
{ role: "<role>", db: "<database>" }
Para especificar un rol que existe en una base de datos diferente, especifique el rol mediante un documento.
Restricciones de autenticación
El documento authenticationRestrictions solo puede contener los campos siguientes. El servidor genera un error si el documento authenticationRestrictions contiene un campo no reconocido:
Nombre de campo | Valor | Descripción |
|---|---|---|
| Arreglo de direcciones IP y/o rangos CIDR | Si está presente, al autenticar a un usuario, el servidor verifica que la dirección IP del cliente esté en la lista proporcionada o que pertenezca a un rango CIDR de la lista. Si la dirección IP del cliente no está presente, el servidor no autentica al usuario. |
| Arreglo de direcciones IP y/o rangos CIDR | Una lista de direcciones IP o rangos CIDR a los que el cliente puede conectarse. Si está presente, el servidor verificará que la conexión del cliente haya sido aceptada mediante una dirección IP de la lista proporcionada. Si la conexión fue aceptada desde una dirección IP no reconocida, el servidor no autentica al usuario. |
Importante
Si un usuario hereda múltiples roles con restricciones de autenticación incompatibles, ese usuario se vuelve inutilizable.
Por ejemplo, si un usuario hereda un rol en el que el campo clientSource es ["198.51.100.0"] y otro rol en el que el campo clientSource es ["203.0.113.0"], el servidor no puede autenticar al usuario.
Para obtener más información sobre la autenticación en MongoDB,consulte Autenticación.
Comportamiento
Set de réplicas
Si se ejecuta en un set de réplicas, db.updateRole() se ejecuta utilizando el nivel de confirmación de escritura "majority" por defecto.
Alcance
Excepto por los roles creados en la base de datos admin, un rol solo puede incluir privilegios que se aplican a su base de datos y solo puede heredar de otros roles en su base de datos.
Un rol creado en la base de datos admin puede incluir privilegios que se aplican a la base de datos admin, a otras bases de datos o al recurso clúster, y puede heredar de roles en otras bases de datos, así como de la base de datos admin.
Privilegios
Cuando se especifica el arreglo privileges, se pueden especificar privilegios para aplicar a varias colecciones en una base de datos, o a una base de datos completa.
La siguiente sintaxis especifica privilegios en múltiples colecciones de la base de datos products.
privileges: [ { resource: { db: 'products', collection: 'coll1' }, actions: [ 'bypassDocumentValidation' ] }, { resource: { db: 'products', collection: 'coll2' }, actions: [ 'bypassDocumentValidation' ] } ]
La siguiente sintaxis especifica privilegios en todas las colecciones de la base de datos products.
privileges: [ { resource: { db: 'products', collection: '' }, actions: [ 'bypassDocumentValidation' ] } ]
Acceso requerido
Debes tener la revokeRole acción en todas las bases de datos para actualizar un rol.
Debes tener la grantRole acción en la base de datos de cada rol en el arreglo roles para actualizar el arreglo.
Debe tener la grantRole acción en la base de datos de cada privilegio de la privileges matriz para actualizarla. Si el recurso de un privilegio abarca varias bases de datos, debe tener en grantRole la admin base de datos. Un privilegio abarca varias bases de datos si cumple alguno de los siguientes requisitos:
una colección en todas las bases de datos
todas las colecciones y todas las bases de datos
el recurso
cluster
Debe tener la setAuthenticationRestriction acción en la base de datos del rol de destino para actualizar el documento authenticationRestrictions de un rol.
Ejemplo
El siguiente db.updateRole() método reemplaza y para privileges roles el inventoryControl rol existente en la products base de datos. El método se ejecuta en la base de datos que inventoryControl contiene:
use products db.updateRole( "inventoryControl", { privileges: [ { resource: { db:"products", collection:"clothing" }, actions: [ "update", "createCollection", "createIndex"] } ], roles: [ { role: "read", db: "products" } ] }, { w:"majority" } )
Para ver los privilegios de un rol, se utiliza el comando rolesInfo.