Docs Menu
Docs Home
/
MongoDB 매뉴얼
/ / /

createRole

이 페이지의 내용

  • 정의
  • 호환성
  • 구문
  • 행동
  • 필요한 액세스 권한
  • 예시
createRole

역할을 만들고 역할 의 권한 을 지정합니다. 이 역할 은 명령을 실행 하는 데이터베이스 에 적용됩니다. createRole 명령은 역할 이 데이터베이스 에 이미 존재하는 경우 중복 역할 오류를 반환합니다.

mongosh에서 이 명령을 db.createRole() 헬퍼 메서드를 통해서도 실행할 수 있습니다.

헬퍼 메서드는 mongosh 사용자에게 편리하지만 데이터베이스 명령과 동일한 수준의 정보를 반환하지 못할 수 있습니다. 편의가 필요하지 않거나 추가 리턴 필드가 필요한 경우 데이터베이스 명령을 사용합니다.

이 명령은 다음 환경에서 호스팅되는 배포에서 사용할 수 있습니다.

  • MongoDB Atlas: 클라우드에서의 MongoDB 배포를 위한 완전 관리형 서비스

중요

이 명령은 M0, M2, M5 및 M10클러스터 이상에서 지원되지 않습니다. 자세한 내용은 지원되지 않는 명령을 참조하세요.

명령은 다음과 같은 구문을 가집니다:

db.adminCommand(
{
createRole: "<new role>",
privileges: [
{ resource: { <resource> }, actions: [ "<action>", ... ] },
...
],
roles: [
{ role: "<role>", db: "<database>" } | "<role>",
...
],
authenticationRestrictions: [
{
clientSource: ["<IP>" | "<CIDR range>", ...],
serverAddress: ["<IP>" | "<CIDR range>", ...]
},
...
],
writeConcern: <write concern document>,
comment: <any>
}
)

createRole 명령에는 다음과 같은 필드가 있습니다.

필드
유형
설명

createRole

문자열

새 역할의 이름입니다.

privileges

배열

역할에 부여할 권한입니다. 권한은 리소스와 허용된 작업으로 구성됩니다. 권한의 구문은 privileges 배열을 참조하세요.

privileges 필드를 포함시켜야 합니다. 권한을 지정하지 않으려면 빈 배열을 사용하세요.

roles

배열

이 역할에게 권한을 상속해 주는 역할의 배열입니다.

roles 필드를 포함시켜야 합니다. 상속의 출처가 될 역할을 지정하지 않으려면 빈 배열을 사용하세요.

authenticationRestrictions

배열

선택 사항.

서버가 이 역할에 대해 시행하는 인증 제한입니다. 이 역할을 부여받은 사용자에게 연결이 허용되거나 연결의 시작점이 될 수 있는 IP 주소 및 CIDR 범위의 목록을 지정합니다.

writeConcern

문서

선택 사항입니다. 작업에 대한 쓰기 고려 수준입니다. 쓰기 고려 사양을 참조하세요.

comment

any

선택 사항. 이 명령에 첨부할 사용자 제공 코멘트입니다. 설정되면 이 설명은 다음 위치에서 이 명령의 레코드와 함께 표시됩니다.

댓글은 유효한 모든 BSON types (문자열, 정수, 객체, 배열 등)이 될 수 있습니다.

roles 필드에서 기본 제공 역할사용자 정의 역할을 모두 지정할 수 있습니다.

createRole가 실행되는 동일한 데이터베이스에 존재하는 역할을 지정하려면 역할의 이름과 함께 역할을 지정할 수 있습니다.

"readWrite"

또는 다음과 같이 문서로 역할을 지정할 수도 있습니다.

{ role: "<role>", db: "<database>" }

다른 데이터베이스에 존재하는 역할을 지정하려면 문서를 사용하여 역할을 지정합니다.

authenticationRestrictions 문서에는 다음 필드 포함될 수 있습니다. authenticationRestrictions 문서에 인식할 수 없는 필드가 포함되어 있으면 서버에서 오류를 발생시킵니다.

필드 이름
설명

clientSource

IP 주소 및/또는 CIDR 범위의 배열

존재하는 경우, 사용자를 인증할 때 서버는 클라이언트의 IP 주소가 지정된 목록에 있거나 목록에 있는 CIDR 범위에 속하는지 확인합니다. 클라이언트의 IP 주소가 없는 경우 서버는 사용자를 인증하지 않습니다.

serverAddress

IP 주소 및/또는 CIDR 범위의 배열

클라이언트가 연결할 수 있는 IP 주소 또는 CIDR 범위의 목록입니다. 존재하는 경우, 서버는 주어진 목록의 IP 주소를 통해 클라이언트의 연결이 승인되었는지 확인합니다. 인식할 수 없는 IP 주소를 통해 연결이 수락된 경우 서버는 사용자를 인증하지 않습니다.

중요

사용자가 인증 제한이 호환되지 않는 여러 역할을 상속하는 경우 해당 사용자는 사용할 수 없게 됩니다.

예를 들어, 사용자가 clientSource 필드가 ["198.51.100.0"]인 역할과 clientSource 필드가 ["203.0.113.0"]인 다른 역할을 상속하는 경우 서버는 사용자를 인증할 수 없습니다.

MongoDB 의 인증 에 대한 자세한 내용 은 자체 관리형 배포서버에 대한 인증을 참조하세요.

역할의 권한은 역할이 생성된 데이터베이스에 적용됩니다. 역할은 데이터베이스에 있는 다른 역할로부터 권한을 상속받을 수 있습니다. admin 데이터베이스에서 생성된 역할은 모든 데이터베이스 또는 클러스터에 적용되는 권한을 포함할 수 있으며 다른 데이터베이스의 역할로부터 권한을 상속할 수 있습니다.

데이터베이스에서 역할을 생성하려면 다음 항목이 있어야 합니다.

기본 제공 역할인 userAdminuserAdminAnyDatabase은(는) 각자의 리소스에 대해 createRole 작업 및 grantRole 작업을 제공합니다.

authenticationRestrictions이(가) 지정된 역할을 생성하려면 이 역할이 생성되는 데이터베이스 리소스에 대한 setAuthenticationRestriction 작업이 있어야 합니다.

다음 createRole 명령은 admin 데이터베이스에 myClusterwideAdmin 역할을 생성합니다.

db.adminCommand({ createRole: "myClusterwideAdmin",
privileges: [
{ resource: { cluster: true }, actions: [ "addShard" ] },
{ resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] },
{ resource: { db: "users", collection: "usersCollection" }, actions: [ "update", "insert", "remove" ] },
{ resource: { db: "", collection: "" }, actions: [ "find" ] }
],
roles: [
{ role: "read", db: "admin" }
],
writeConcern: { w: "majority" , wtimeout: 5000 }
})

돌아가기

역할 관리