db.updateUser()
이 페이지의 내용
정의
db.updateUser( username, update, writeConcern )
메소드를 실행하는 데이터베이스에서 사용자 프로필을 업데이트합니다. 필드를 업데이트하면 이전 필드의 값이 완전히 바뀝니다. 여기에는 사용자의
roles
배열에 대한 업데이트가 포함됩니다.경고
roles
배열 을 업데이트 하면 이전 배열의 값이 완전히 바뀝니다. 사용자의 기존 역할을 모두 바꾸지 않고 역할을 추가하거나 제거 하려면db.grantRolesToUser()
또는db.revokeRolesFromUser()
메서드를 사용합니다.db.updateUser()
메서드는 다음 구문을 사용합니다.팁
메서드/명령 호출에 비밀번호를 직접 지정하는 대신
passwordPrompt()
메서드를 다양한 사용자 인증/관리 메서드/명령과 함께 사용하여 비밀번호를 입력하라는 메시지를 표시할 수 있습니다. 그러나 이전 버전의mongo
shell 에서와 마찬가지로 비밀번호를 직접 지정할 수 있습니다.db.updateUser( "<username>", { customData : { <any information> }, roles : [ { role: "<role>", db: "<database>" } | "<role>", ... ], pwd: passwordPrompt(), // Or "<cleartext password>" authenticationRestrictions: [ { clientSource: ["<IP>" | "<CIDR range>", ...], serverAddress: ["<IP>", | "<CIDR range>", ...] }, ... ], mechanisms: [ "<SCRAM-SHA-1|SCRAM-SHA-256>", ... ], passwordDigestor: "<server|client>" }, writeConcern: { <write concern> } ) db.updateUser()
메서드에는 다음과 같은 인수가 사용됩니다.Parameter유형설명username
문자열업데이트할 사용자의 이름입니다.update
문서사용자의 대체 데이터가 포함된 문서입니다. 이 데이터는 사용자의 해당 데이터를 완전히 대체합니다.writeConcern
문서update
문서는 업데이트할 필드와 해당 새 값을 지정합니다.update
문서의 모든 필드는 선택 사항이지만 하나 이상의 필드를 포함해야 합니다.update
문서에 다음과 같은 필드가 있습니다:필드유형설명customData
문서선택 사항. 모든 임의 정보입니다.roles
배열선택 사항. 사용자에게 부여된 역할입니다.roles
배열에 대한 업데이트는 이전 배열의 값을 재정의합니다.pwd
문자열선택 사항. 사용자의 비밀번호입니다. 값은 다음 중 하나일 수 있습니다.
일반 텍스트 문자열로 된 사용자의 비밀번호
passwordPrompt()
은(는) 사용자의 비밀번호를 묻는 메시지를 표시합니다.
메서드/명령 호출에 비밀번호를 직접 지정하는 대신
passwordPrompt()
메서드를 다양한 사용자 인증/관리 메서드/명령과 함께 사용하여 비밀번호를 입력하라는 메시지를 표시할 수 있습니다. 그러나 이전 버전의mongo
shell 에서와 마찬가지로 비밀번호를 직접 지정할 수 있습니다.authenticationRestrictions
배열선택 사항. 서버가 사용자에게 적용하는 인증 제한 사항입니다. 사용자가 서버에 연결할 수 있거나 서버가 사용자를 수락할 수 있는 IP 주소 및 CIDR 범위의 목록을 지정합니다.
버전 3.6에 새로 추가되었습니다.
mechanisms
배열선택 사항. 사용자 자격 증명에 대한 특정 SCRAM 메커니즘(1개 또는 여러 개)입니다.
authenticationMechanisms
를 지정하면authenticationMechanisms
의 하위 집합만 지정할 수 있습니다.비밀번호 없이 메커니즘 필드를 업데이트하는 경우 사용자의 현재 메커니즘의 하위 집합만 지정할 수 있으며, 지정된 메커니즘(1개 또는 여러 개)에 대한 기존 사용자 자격 증명만 유지됩니다.
메커니즘과 함께 비밀번호를 업데이트하는 경우 사용자에 대한 자격 증명 세트가 저장됩니다.
유효한 값은 다음과 같습니다.
"SCRAM-SHA-1"
SHA-1
해시 함수를 사용합니다.
"SCRAM-SHA-256"
SHA-256
해시 함수를 사용합니다.featureCompatibilityVersion이
4.0
으로 설정되어야 합니다.passwordDigestor가
server
여야 합니다.
passwordDigestor
문자열선택 사항입니다. 서버 또는 클라이언트 중 어느 쪽에서 비밀번호를 해독할지를 나타냅니다.
사용 가능한 값은 다음과 같습니다.
"server"
(기본값)- 서버는 클라이언트로부터 다이제스트되지 않은 비밀번호를 수신하여 비밀번호를 다이제스트합니다.
"client"
(SCRAM-SHA-256
과 호환되지 않음)- 클라이언트는 비밀번호를 다이제스트하고, 이후 다이제스트된 비밀번호를 서버에 전달합니다.
역할
roles
필드에서 기본 제공 역할과 사용자 정의 역할을 모두 지정할 수 있습니다.
db.updateUser()
가 실행되는 동일한 데이터베이스에 존재하는 역할을 지정하려면 역할의 이름과 함께 역할을 지정할 수 있습니다.
"readWrite"
또는 다음과 같이 문서로 역할을 지정할 수도 있습니다.
{ role: "<role>", db: "<database>" }
다른 데이터베이스에 존재하는 역할을 지정하려면 문서를 사용하여 역할을 지정합니다.
인증 제한
버전 3.6에 새로 추가되었습니다.
authenticationRestrictions
문서에는 다음 필드만 포함될 수 있습니다. authenticationRestrictions
문서에 인식할 수 없는 필드가 포함되어 있으면 서버에서 오류를 발생시킵니다.
필드 이름 | 값 | 설명 |
---|---|---|
clientSource | IP 주소 및/또는 CIDR 범위의 배열 | 존재하는 경우, 사용자를 인증할 때 서버는 클라이언트의 IP 주소가 지정된 목록에 있거나 목록에 있는 CIDR 범위에 속하는지 확인합니다. 클라이언트의 IP 주소가 없는 경우 서버는 사용자를 인증하지 않습니다. |
serverAddress | IP 주소 및/또는 CIDR 범위의 배열 | 클라이언트가 연결할 수 있는 IP 주소 또는 CIDR 범위의 목록입니다. 존재하는 경우, 서버는 주어진 목록의 IP 주소를 통해 클라이언트의 연결이 승인되었는지 확인합니다. 인식할 수 없는 IP 주소를 통해 연결이 수락된 경우 서버는 사용자를 인증하지 않습니다. |
중요
사용자가 인증 제한이 호환되지 않는 여러 역할을 상속하는 경우 해당 사용자는 사용할 수 없게 됩니다.
예를 들어, 사용자가 clientSource
필드가 ["198.51.100.0"]
인 역할과 clientSource
필드가 ["203.0.113.0"]
인 다른 역할을 상속하는 경우 서버는 사용자를 인증할 수 없습니다.
MongoDB의 인증에 대한 자세한 내용은 인증을 참조하세요.
db.updateUser()
메서드는 updateUser
명령을 래핑합니다.
호환성
이 메서드는 다음 환경에서 호스팅되는 배포에서 사용할 수 있습니다.
중요
이 명령은 MongoDB Atlas 클러스터에서 지원되지 않습니다. 모든 명령에 대한 Atlas 지원 에 대한 자세한 내용은 지원되지 않는 명령을 참조하세요.
MongoDB Enterprise: MongoDB의 구독 기반 자체 관리 버전
MongoDB Community: MongoDB의 소스 사용 가능 무료 자체 관리 버전
행동
복제본 세트
복제본 세트에서 실행할 경우, db.updateUser()
는 기본값으로 "majority"
쓰기 고려(write concern)를 사용하여 실행됩니다.
암호화 (Encryption)
경고
기본적으로 db.updateUser()
는 passwordPrompt()
를 사용하는 경우에도 지정된 모든 데이터를 일반 텍스트로 MongoDB 인스턴스에 전송합니다. db.updateUser()
에서 보낸 암호를 포함하여 클라이언트와 서버 간의 통신을 보호하려면 TLS 전송 암호화를 사용합니다. TLS 전송 암호화를 활성화하는 방법에 대한 지침은 TLS/SSL을 위한 mongod
및 mongos
구성을 참조하세요.
MongoDB는 비밀번호를 일반 텍스트로 저장하지 않습니다. 비밀번호는 클라이언트와 서버 간의 전송 시 그리고 TLS 전송 암호화가 활성화되지 않은 경우에만 취약합니다.
필요한 액세스 권한
사용자의 roles
배열을 업데이트하려면 모든 데이터베이스에 대한 revokeRole
조치를 포함하는 액세스 권한이 있어야 합니다.
사용자에 역할을 추가하려면 역할의 데이터베이스에 grantRole
조치가 있어야 합니다.
다른 사용자의 pwd
또는 customData
필드를 변경하려면 해당 사용자의 데이터베이스에 changePassword
및 changeCustomData
조치가 각각 있어야 합니다.
자신의 비밀번호와 사용자 지정 데이터를 수정하려면 사용자 데이터베이스에서 각각 changeOwnPassword
및 changeOwnCustomData
조치를 부여할 수 있는 권한이 있어야 합니다.
예시
다음 사용자 정보가 포함된 products
데이터베이스의 사용자 appClient01
이(가) 제공됩니다.
{ _id : "products.appClient01", userId : UUID("c5d88855-3f1e-46cb-9c8b-269bef957986"), user : "appClient01", db : "products", customData : { empID : "12345", badge : "9156" }, roles : [ { role : "readWrite", db : "products" }, { role : "read", db : "inventory" } ], mechanisms : [ "SCRAM-SHA-1", "SCRAM-SHA-256" ], authenticationRestrictions : [ { clientSource: ["69.89.31.226"], serverAddress: ["172.16.254.1"] } ] }
다음 db.updateUser()
메서드는 사용자의 customData
및 roles
데이터를 완전히 대체합니다.
use products db.updateUser( "appClient01", { customData : { employeeId : "0x3039" }, roles : [ { role : "read", db : "assets" } ] } )
products
데이터베이스의 사용자 appClient01
는 이제 다음과 같은 사용자 정보를 갖습니다.
{ _id : "products.appClient01", userId : UUID("c5d88855-3f1e-46cb-9c8b-269bef957986"), user : "appClient01", db : "products", customData : { employeeId : "0x3039" }, roles : [ { role : "read", db : "assets" } ], mechanisms : [ "SCRAM-SHA-1", "SCRAM-SHA-256" ], authenticationRestrictions : [ { clientSource: ["69.89.31.226"], serverAddress: ["172.16.254.1"] } ] }
SCRAM-SHA-256
자격 증명만 사용하도록 사용자 업데이트
참고
SCRAM-SHA-256 을 사용하려면 featureCompatibilityVersion
을 4.0
로 설정해야 합니다. For more information on featureCompatibilityVersion, see View FeatureCompatibilityVersion and setFeatureCompatibilityVersion
.
다음 작업은 현재 SCRAM-SHA-256
및 SCRAM-SHA-1
자격 증명을 모두 갖고 있는 사용자가 SCRAM-SHA-256
자격 증명만 갖도록 업데이트합니다.
참고
비밀번호가
mechanisms
과 함께 지정되지 않은 경우mechanisms
를 사용자의 현재 SCRAM 메커니즘의 하위 집합으로만 업데이트할 수 있습니다.비밀번호가
mechanisms
과 함께 지정된 경우 지원되는 SCRAM 메커니즘(1개 또는 여러 개)을 지정할 수 있습니다.SCRAM-SHA-256
의 경우passwordDigestor
는 기본값"server"
이어야 합니다.
use reporting db.updateUser( "reportUser256", { mechanisms: [ "SCRAM-SHA-256" ] } )