grantPrivilegesToRole

定義

grantPrivilegesToRole

コマンドが実行されるデータベースで定義された ユーザー定義 ロールに追加の 権限 を割り当てます。

Tip

mongoshでは、このコマンドはdb.grantPrivilegesToRole()ヘルパー メソッドを通じて実行することもできます。

ヘルパー メソッドはmongoshユーザーには便利ですが、データベースコマンドと同じレベルの情報は返されない可能性があります。 便宜上必要ない場合、または追加の戻りフィールドが必要な場合は、 データベースコマンドを使用します。

grantPrivilegesToRoleコマンドは、次の構文を使用します。

{
  grantPrivilegesToRole: "<role>",
  privileges: [
      {
        resource: { <resource> }, actions: [ "<action>", ... ]
      },
      ...
  ],
  writeConcern: { <write concern> },
  comment: <any>
}

互換性

このコマンドは、次の環境でホストされている配置で使用できます。

• MongoDB Atlas はクラウドでの MongoDB 配置のためのフルマネージド サービスです

• MongoDB Enterprise: サブスクリプションベースの自己管理型 MongoDB バージョン

• MongoDB Community: ソースが利用可能で、無料で使用できる自己管理型の MongoDB のバージョン

コマンドフィールド

コマンドには次のフィールドがあります:

動作

ロールの特権は、ロールが作成されたデータベースに適用されます。 adminデータベースで作成されたロールには、すべてのデータベースまたはクラスターに適用する特権を含めることができます。

必要なアクセス権

特権を付与するには、特権ターゲットのデータベースに対してgrantRoleアクションが必要です。 複数のデータベースまたはclusterリソースに特権を付与するには、 adminデータベースに対してgrantRoleアクションが必要です。

例

次のgrantPrivilegesToRoleコマンドは、 productsデータベースに存在するserviceロールに 2 つの追加の特権を付与します。

use products
db.runCommand(
   {
     grantPrivilegesToRole: "service",
     privileges: [
         {
           resource: { db: "products", collection: "" }, actions: [ "find" ]
         },
         {
           resource: { db: "products", collection: "system.js" }, actions: [ "find" ]
         }
     ],
     writeConcern: { w: "majority" , wtimeout: 5000 }
   }
)

privileges配列の最初の特権により、ユーザーはproductsデータベース内のすべての非システム コレクションを検索できます。 特権では、 コレクションなどのsystem.js システム コレクション に対するクエリは許可されません。これらのシステム コレクションへのアクセスを許可するには、 privileges配列でアクセスを明示的にプロビジョニングします。 自己管理型配置に関するリソース ドキュメントを参照してください。

2find system.js番目の特権は、すべてのデータベース上の コレクションに対する アクションを明示的に許可します。