Docs 主页 → 开发应用程序 → MongoDB Manual
db.createRole()
定义
db.createRole(role, writeConcern)在数据库中创建角色。您可通过显式列出特权、让角色从其他角色继承权限或同时执行二者为角色指定特权。此角色会应用于运行该方法的数据库。
重要
mongosh 方法
本页介绍了
mongosh方法。这不是数据库命令或特定语言驱动程序(例如 Node.js)的文档。有关数据库命令,请参阅
createRole命令。对于 MongoDB API 驱动程序,请参阅特定语言的MongoDB 驱动程序文档。
对于传统
mongoShell 文档,请参阅相应 MongoDB Server 版本的文档:db.createRole()方法接受以下参数:role文档采用以下形式:{ role: "<name>", privileges: [ { resource: { <resource> }, actions: [ "<action>", ... ] }, ... ], roles: [ { role: "<role>", db: "<database>" } | "<role>", ... ], authenticationRestrictions: [ { clientSource: ["<IP>" | "<CIDR range>", ...], serverAddress: ["<IP>" | "<CIDR range>", ...] }, ... ] } role文档包含以下字段:字段类型说明role字符串新角色的名称。privileges阵列授予角色的权限。权限由资源和允许的操作组成。有关权限的语法,请参阅
privileges数组。必须包含
privileges字段。使用空数组指定无 权限。roles阵列该角色所继承权限的源角色的数组。
必须包含
roles字段。使用空数组指定没有 可从其继承权限的角色。authenticationRestrictions阵列可选。
服务器对角色实施的身份验证限制。指定允许授予此角色的用户连接和/或可以从中进行连接的 IP 地址和 CIDR 范围的列表。
角色
要指定运行db.createRole()的同一数据库中存在的角色,可以使用角色名称指定该角色:
"readWrite"
或者,可以使用文档指定角色,如下所示:
{ role: "<role>", db: "<database>" }
要指定存在于其他数据库中的角色,请使用文档指定该角色。
authenticationRestrictions
authenticationRestrictions 文档只能包含以下字段。如果 authenticationRestrictions 文档包含无法识别的字段,服务器会引发错误:
字段名称 | 值 | 说明 |
|---|---|---|
clientSource | IP 地址和/或 CIDR 范围的数组 | 如果存在,则在对用户进行身份验证时,服务器会验证客户端的 IP 地址是否在给定列表中或属于列表中的 CIDR 范围。如果客户端的 IP 地址不存在,服务器不会对用户进行身份验证。 |
serverAddress | IP 地址和/或 CIDR 范围的数组 | 客户端可以连接的 IP 地址或 CIDR 范围列表。如果存在,服务器将验证客户端的连接是否已通过给定列表中的 IP 地址接受。如果通过无法识别的 IP 地址接受连接,服务器不会对用户进行身份验证。 |
重要
如果用户继承的多个角色具有不兼容的身份验证限制,则该用户将不可用。
例如,如果用户继承了一个角色(其中 clientSource 字段为 ["198.51.100.0"])和另一个角色(其中 clientSource 字段为 ["203.0.113.0"]),则服务器无法对该用户进行身份验证。
有关 MongoDB 中身份验证的更多信息,请参阅身份验证。
行为
副本集
如果在副本集上运行,则默认情况下使用 写关注执行db.createRole() "majority"。
范围
除在 admin 数据库中创建的角色之外,角色只能包含会应用于其数据库的特权,且只能从其数据库中的其他角色来继承。
在 admin 数据库中创建的角色可包含会应用于 admin 数据库、其他数据库或集群资源的特权,且可从其他数据库和 admin 数据库中的角色来继承。
如果数据库中已存在该角色,则db.createRole()方法会返回重复角色错误。
必需的访问权限
要在数据库中创建角色,必须:
对该数据库资源执行
createRole操作。
通过内置角色 userAdmin 和 userAdminAnyDatabase,可在各自的资源上执行 createRole 和 grantRole 操作。
要在指定 authenticationRestrictions 时创建角色,必须针对创建该角色的数据库资源执行 setAuthenticationRestriction 操作。
例子
以下db.createRole()方法将在admin数据库上创建myClusterwideAdmin角色:
use admin db.createRole( { role: "myClusterwideAdmin", privileges: [ { resource: { cluster: true }, actions: [ "addShard" ] }, { resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] }, { resource: { db: "users", collection: "usersCollection" }, actions: [ "update", "insert", "remove" ] }, { resource: { db: "", collection: "" }, actions: [ "find" ] } ], roles: [ { role: "read", db: "admin" } ] }, { w: "majority" , wtimeout: 5000 } )