TiDBについて
クイックスタート
発展させる
- 概要
- クイックスタート
  - TiDB CloudでTiDBクラスターを構築する（DevTier）
  - TiDBのCRUDSQL
  - TiDBを使用してシンプルなCRUDアプリを構築する
    - Java
- アプリケーション例
  - SpringBootを使用してTiDBアプリケーションを構築する
- TiDBに接続する
- データベーススキーマの設計
- データの書き込み
- データの読み取り
  - 単一のテーブルからのデータのクエリ
  - マルチテーブル結合クエリ
  - サブクエリ
  - 結果をページングする
  - ビュー
  - 一時テーブル
  - 共通テーブル式
  - レプリカデータの読み取り
    - フォロワー読み取り
    - 古い読み取り
  - HTAPクエリ
- 取引
- 最適化
- トラブルシューティング
- 参照
  - 書店のサンプルアプリケーション
  - ガイドライン
    - オブジェクト命名規則
    - SQL開発仕様
デプロイ
- ソフトウェアとハードウェアの要件
- 環境Configuration / コンフィグレーションチェックリスト
- クラスタトポロジを計画する
- インストールして開始
  - TiUPを使用する（推奨）
  - Kubernetesにデプロイ
- クラスタステータスの確認
- クラスターパフォーマンスのテスト
  - Sysbenchを使用してTiDBをテストする
  - TPC-Cを使用してTiDBをテストする
移行する
管理
- アップグレード
  - TiUPを使用する（推奨）
  - TiDB Operatorを使用する
- 規模
  - TiUPを使用する（推奨）
  - TiDB Operatorを使用する
- バックアップと復元
  - BRツールを使用する（推奨）
- タイムゾーンの構成
- 毎日のチェックリスト
- TiFlashを管理する
- TiUPを使用してTiDBを管理する
- オンラインでConfiguration / コンフィグレーションを変更する
- オンラインの安全でない回復
- プライマリクラスターとセカンダリクラスター間でデータを複製する
監視と警告
トラブルシューティング
性能チューニング
- チューニングガイド
- Configuration / コンフィグレーションの調整
  - システムチューニング
    - オペレーティングシステムのチューニング
  - ソフトウェアのチューニング
    - Configuration / コンフィグレーション
    - コプロセッサーキャッシュ
- SQLチューニング
  - 概要
  - クエリ実行プランを理解する
  - SQL最適化プロセス
  - 実行計画の管理
チュートリアル
TiDBツール
- 概要
- ユースケース
- ダウンロード
- TiUP
- PingCAPクリニック診断サービス（テクニカルプレビュー）
- TiDB Operator
- Dumpling
- TiDB Lightning
- TiDBデータ移行
  - TiDBデータ移行について
  - クイックスタート
  - DMクラスタをデプロイする
  - チュートリアル
  - 高度なチュートリアル
    - シャーディングされたテーブルからのデータのマージと移行
    - GH-ost/PT-oscを使用するMySQLデータベースからの移行
    - より多くの列を持つダウンストリームTiDBテーブルにデータを移行する
  - 管理
    - クラスターのアップグレード
      - TiUPを使用してDMクラスターを管理する（推奨）
      - v1.0.xからv2.0+に手動でアップグレードする
    - ツール
      - WebUIを使用して管理する
      - dmctlを使用して管理する
    - 性能チューニング
    - データソースの管理
      - 移行するMySQLインスタンスを切り替えます
    - タスクの管理
      - 失敗したDDLステートメントの処理
      - 移行するテーブルのスキーマを管理する
    - クラスターのデータソースとタスク構成のエクスポートとインポート
    - アラートを処理する
    - デイリーチェック
  - 参照
    - 建築
    - コマンドライン
      - DM-マスター＆DM-ワーカー
    - Configuration / コンフィグレーションファイル
    - OpenAPI
    - 互換性カタログ
    - セキュリティ
      - DM接続のTLSを有効にする
      - 自己署名証明書を生成する
    - 監視とアラート
      - モニタリング指標
      - アラートルール
    - エラーコード
    - 用語集
  - 例
  - トラブルシューティング
    - FAQ
    - エラーの処理
  - リリースノート
- バックアップと復元（BR）
- TiDB Binlog
  - 概要
  - クイックスタート
  - デプロイ
  - 管理
  - 構成、設定
    - ポンプ
    - ドレイナー
  - アップグレード
  - モニター
  - レパロ
  - binlogctl
  - Binlogコンシューマークライアント
  - TiDBBinlogリレーログ
  - TiDBクラスター間の双方向レプリケーション
  - 用語集
  - トラブルシューティング
    - トラブルシューティング
    - エラーの処理
  - FAQ
- TiCDC
- Dumpling
- sync-diff-inspector
- TiSpark
  - ユーザーガイド
参照
- クラスターアーキテクチャ
- 主要な監視指標
- セキュリティ
- 権限
- SQL
- UI
  - TiDBダッシュボード
    - 概要
    - 管理
    - アクセス
    - 概要ページ
    - クラスター情報ページ
    - Top SQLページ
    - キービジュアライザーページ
    - メトリクス関係グラフ
    - SQLステートメント分析
      - SQLステートメントページ
      - SQL詳細ページ
    - 遅いクエリページ
    - クラスター診断
    - 検索ログページ
    - インスタンスプロファイリング
      - 手動プロファイリング
      - 継続的なプロファイリング
    - セッションの管理とConfiguration / コンフィグレーション
      - 共有セッション
      - SSOを構成する
    - FAQ
- CLI
- コマンドラインフラグ
- Configuration / コンフィグレーションファイルのパラメーター
- システム変数
- ストレージエンジン
  - TiKV
  - TiFlash
    - 概要
    - TiFlashを使用する
- テレメトリー
- エラーコード
- テーブルフィルター
- トポロジラベルによるレプリカのスケジュール
よくある質問
リリースノート
- すべてのリリース
- リリースタイムライン
- TiDBバージョニング
- v6.1
  - 6.1.0
- v6.0
  - 6.0.0-DMR
- v5.4
  - 5.4.1
  - 5.4.0
- v5.3
  - 5.3.1
  - 5.3.0
- v5.2
- v5.1
- v5.0
- v4.0
- v3.1
- v3.0
- v2.1
- v2.0
- v1.0
  - 1.0.8
  - 1.0.7
  - 1.0.6
  - 1.0.5
  - 1.0.4
  - 1.0.3
  - 1.0.2
  - 1.0.1
  - 1.0
  - プレGA
  - RC4
  - RC3
  - RC2
  - RC1
用語集

重要

このページは英語版のページを機械翻訳しています。原文はこちらからご覧ください。

ロールベースのアクセス制御

TiDBの役割ベースのアクセス制御（RBAC）システムの実装は、MySQL8.0の実装と似ています。 TiDBは、MySQLのほとんどのRBAC構文と互換性があります。

このドキュメントでは、TiDBRBAC関連の操作と実装を紹介します。

RBAC操作

ロールは、一連の特権のコレクションです。次の操作を実行できます。

役割を作成します。
ロールを削除します。
ロールに特権を付与します。
別のユーザーに役割を付与します。そのユーザーは、役割を有効にした後、その役割に関連する特権を取得できます。

役割を作成する

たとえば、次のステートメントを使用して、ロールapp_developer 、およびapp_readを作成できapp_write 。

CREATE ROLE 'app_developer', 'app_read', 'app_write';

ロールの命名形式とルールについては、 TiDBユーザーアカウント管理を参照してください。

ロールはmysql.userテーブルに格納され、ロール名のホスト名部分（省略されている場合）のデフォルトは'%'です。作成しようとしているロールの名前は一意である必要があります。それ以外の場合は、エラーが報告されます。

ロールを作成するには、 CREATE ROLEまたはCREATE USERの特権が必要です。

役割に特権を付与する

ロールに特権を付与する操作は、ユーザーに特権を付与する操作と同じです。詳細については、 TiDB権限管理を参照してください。

たとえば、次のステートメントを使用して、 app_readの役割にapp_dbのデータベースを読み取る特権を付与できます。

GRANT SELECT ON app_db.* TO 'app_read'@'%';

次のステートメントを使用して、 app_writeの役割にapp_dbのデータベースにデータを書き込む特権を付与できます。

GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write'@'%';;

次のステートメントを使用して、 app_developerの役割にapp_dbのデータベースに対するすべての特権を付与できます。

GRANT ALL ON app_db.* TO 'app_developer';

ユーザーに役割を付与する

ユーザーdev1がapp_dbのすべての特権を持つ開発者の役割を持っていると仮定します。 2人のユーザーread_user1とread_user2は、 app_dbに対する読み取り専用特権を持っています。そして、ユーザrw_user1は、 app_dbに対する読み取りおよび書き込み特権を有する。

CREATE USERを使用してユーザーを作成します。

CREATE USER 'dev1'@'localhost' IDENTIFIED BY 'dev1pass';
CREATE USER 'read_user1'@'localhost' IDENTIFIED BY 'read_user1pass';
CREATE USER 'read_user2'@'localhost' IDENTIFIED BY 'read_user2pass';
CREATE USER 'rw_user1'@'localhost' IDENTIFIED BY 'rw_user1pass';

次に、 GRANTを使用してユーザーに役割を付与します

GRANT 'app_developer' TO 'dev1'@'localhost';
GRANT 'app_read' TO 'read_user1'@'localhost', 'read_user2'@'localhost';
GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost';

別のユーザーに役割を付与したり、役割を取り消したりするには、 SUPERの特権が必要です。

ユーザーに役割を付与することは、その役割をすぐに有効にすることを意味するわけではありません。ロールを有効にすることは別の操作です。

次の操作は「関係ループ」を形成する可能性があります。

CREATE USER 'u1', 'u2';
CREATE ROLE 'r1', 'r2';

GRANT 'u1' TO 'u1';
GRANT 'r1' TO 'r1';

GRANT 'r2' TO 'u2';
GRANT 'u2' TO 'r2';

TiDBは、このマルチレベルの認証関係をサポートしています。これを使用して、特権の継承を実装できます。

ロールの権限を確認してください

SHOW GRANTSステートメントを使用して、ユーザーに付与されている特権を確認できます。

別のユーザーの特権関連情報を確認するには、 mysqlのデータベースでSELECTの特権が必要です。

SHOW GRANTS FOR 'dev1'@'localhost';

+-------------------------------------------------+
| Grants for dev1@localhost                       |
+-------------------------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`localhost`        |
| GRANT `app_developer`@`%` TO `dev1`@`localhost` |
+-------------------------------------------------+

SHOW GRANTSのUSINGオプションを使用して、役割の特権を確認できます。

SHOW GRANTS FOR 'dev1'@'localhost' USING 'app_developer';

+----------------------------------------------------------+
| Grants for dev1@localhost                                |
+----------------------------------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`localhost`                 |
| GRANT ALL PRIVILEGES ON `app_db`.* TO `dev1`@`localhost` |
| GRANT `app_developer`@`%` TO `dev1`@`localhost`          |
+----------------------------------------------------------+

SHOW GRANTS FOR 'rw_user1'@'localhost' USING 'app_read', 'app_write';

+------------------------------------------------------------------------------+
| Grants for rw_user1@localhost                                                |
+------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `rw_user1`@`localhost`                                 |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `app_db`.* TO `rw_user1`@`localhost` |
| GRANT `app_read`@`%`,`app_write`@`%` TO `rw_user1`@`localhost`               |
+------------------------------------------------------------------------------+

SHOW GRANTS FOR 'read_user1'@'localhost' USING 'app_read';

+--------------------------------------------------------+
| Grants for read_user1@localhost                        |
+--------------------------------------------------------+
| GRANT USAGE ON *.* TO `read_user1`@`localhost`         |
| GRANT SELECT ON `app_db`.* TO `read_user1`@`localhost` |
| GRANT `app_read`@`%` TO `read_user1`@`localhost`       |
+--------------------------------------------------------+

SHOW GRANTSまたはSHOW GRANTS FOR CURRENT_USER()を使用して、現在のユーザーの特権を確認できます。 SHOW GRANTSとSHOW GRANTS FOR CURRENT_USER()は、次の点で異なります。

SHOW GRANTSは、現在のユーザーに対して有効になっているロールの特権を示します。
SHOW GRANTS FOR CURRENT_USER()は、有効なロールの特権を示しません。

デフォルトの役割を設定する

ロールがユーザーに付与された後、すぐには有効になりません。ユーザーがこのロールを有効にした後でのみ、ユーザーはロールが所有する特権を使用できます。

ユーザーのデフォルトの役割を設定できます。ユーザーがログインすると、デフォルトの役割が自動的に有効になります。

SET DEFAULT ROLE
    {NONE | ALL | role [, role ] ...}
    TO user [, user ]

たとえば、次のステートメントを使用して、デフォルトの役割をrw_user1@localhostからapp_readおよびapp_writeに設定できます。

SET DEFAULT ROLE app_read, app_write TO 'rw_user1'@'localhost';

次のステートメントを使用して、デフォルトの役割dev1@localhostをすべての役割に設定できます。

SET DEFAULT ROLE ALL TO 'dev1'@'localhost';

次のステートメントを使用して、 dev1@localhostのすべてのデフォルトの役割を無効にすることができます。

SET DEFAULT ROLE NONE TO 'dev1'@'localhost';

ノート：
デフォルトの役割をこの役割に設定する前に、ユーザーに役割を付与する必要があります。

現在のセッションで役割を有効にする

現在のセッションでいくつかの役割を有効にすることができます。

SET ROLE {
    DEFAULT
  | NONE
  | ALL
  | ALL EXCEPT role [, role ] ...
  | role [, role ] ...
}

たとえば、 rw_user1がログインした後、次のステートメントを使用して、現在のセッションでのみ有効なロールapp_readとapp_writeを有効にできます。

SET ROLE 'app_read', 'app_write';

次のステートメントを使用して、現在のユーザーのデフォルトの役割を有効にすることができます。

SET ROLE DEFAULT

次のステートメントを使用して、現在のユーザーに付与されているすべてのロールを有効にすることができます。

SET ROLE ALL

次のステートメントを使用して、すべての役割を無効にすることができます。

SET ROLE NONE

次のステートメントを使用して、 app_read以外の役割を有効にできます。

SET ROLE ALL EXCEPT 'app_read'

ノート：
SET ROLEを使用して役割を有効にする場合、この役割は現在のセッションでのみ有効です。

現在有効な役割を確認してください

現在のユーザーは、 CURRENT_ROLE()機能を使用して、現在のユーザーによって有効にされている役割を確認できます。

たとえば、デフォルトの役割をrw_user1'@'localhostに付与できます。

SET DEFAULT ROLE ALL TO 'rw_user1'@'localhost';

rw_user1@localhostログインした後、次のステートメントを実行できます。

SELECT CURRENT_ROLE();

+--------------------------------+
| CURRENT_ROLE()                 |
+--------------------------------+
| `app_read`@`%`,`app_write`@`%` |
+--------------------------------+

SET ROLE 'app_read'; SELECT CURRENT_ROLE();

+----------------+
| CURRENT_ROLE() |
+----------------+
| `app_read`@`%` |
+----------------+

役割を取り消す

次のステートメントを使用して、ユーザーread_user1@localhostおよびread_user2@localhostに付与されたapp_readの役割を取り消すことができます。

REVOKE 'app_read' FROM 'read_user1'@'localhost', 'read_user2'@'localhost';

次のステートメントを使用して、 rw_user1@localhostのユーザーに付与されたロールapp_readおよびapp_writeを取り消すことができます。

REVOKE 'app_read', 'app_write' FROM 'rw_user1'@'localhost';

ユーザーからロールを取り消す操作はアトミックです。ロールの取り消しに失敗した場合、この操作はロールバックされます。

特権を取り消す

REVOKEステートメントはGRANTと逆になります。 REVOKEを使用して、 app_writeの特権を取り消すことができます。

REVOKE INSERT, UPDATE, DELETE ON app_db.* FROM 'app_write';

詳細については、 TiDB権限管理を参照してください。

役割を削除する

次のステートメントを使用して、役割app_readおよびapp_writeを削除できます。

DROP ROLE 'app_read', 'app_write';

この操作により、 mysql.user表のapp_readとapp_writeの役割レコードと許可表の関連レコードが削除され、2つの役割に関連する許可が終了します。

ロールを削除するには、 DROP ROLEまたはDROP USERの権限が必要です。

承認テーブル

4つのシステム特権テーブルに加えて、RBACシステムは2つの新しいシステム特権テーブルを導入します。

mysql.role_edges ：ロールとユーザーの承認関係を記録します。
mysql.default_roles ：各ユーザーのデフォルトの役割を記録します。

`mysql.role_edges`

mysql.role_edgesには次のデータが含まれます。

SELECT * FROM mysql.role_edges;

+-----------+-----------+---------+---------+-------------------+
| FROM_HOST | FROM_USER | TO_HOST | TO_USER | WITH_ADMIN_OPTION |
+-----------+-----------+---------+---------+-------------------+
| %         | r_1       | %       | u_1     | N                 |
+-----------+-----------+---------+---------+-------------------+
1 row in set (0.00 sec)

FROM_HOSTとFROM_USERは、それぞれロールのホスト名とユーザー名を示します。
TO_HOSTとTO_USERは、ロールが付与されているユーザーのホスト名とユーザー名を示します。

`mysql.default_roles`

mysql.default_rolesは、各ユーザーに対してデフォルトで有効になっている役割を示します。

SELECT * FROM mysql.default_roles;

+------+------+-------------------+-------------------+
| HOST | USER | DEFAULT_ROLE_HOST | DEFAULT_ROLE_USER |
+------+------+-------------------+-------------------+
| %    | u_1  | %                 | r_1               |
| %    | u_1  | %                 | r_2               |
+------+------+-------------------+-------------------+
2 rows in set (0.00 sec)

HOSTとUSERは、それぞれユーザーのホスト名とユーザー名を示します。
DEFAULT_ROLE_HOSTとDEFAULT_ROLE_USERは、それぞれデフォルトの役割のホスト名とユーザー名を示します。

参考文献

RBAC、ユーザー管理、および特権管理は密接に関連しているため、次のリソースで操作の詳細を参照できます。

このページの内容

RBAC操作