ID アクセス管理
このドキュメントでは、 TiDB Cloudで組織、プロジェクト、ロール、およびユーザー プロファイルへのアクセスを管理する方法について説明します。
TiDB Cloudにアクセスする前に、 TiDB Cloudアカウントを作成する . TiDB Cloudを使用してパスワードを管理するできるように電子メールとパスワードでサインアップすることも、 TiDB Cloudへのシングル サインオン (SSO) 用に Google、GitHub、または Microsoft アカウントを選択することもできます。
組織とプロジェクト
TiDB Cloud は、組織とプロジェクトに基づいた階層構造を提供し、 TiDB Cloudユーザーとクラスターの管理を容易にします。組織の所有者は、組織内に複数のプロジェクトを作成できます。
例えば:
- Your organization
- Project 1
- Cluster 1
- Cluster 2
- Project 2
- Cluster 3
- Cluster 4
- Project 3
- Cluster 5
- Cluster 6
この構造では次のようになります。
- 組織にアクセスするには、ユーザーはその組織のメンバーである必要があります。
- 組織内のプロジェクトにアクセスするには、ユーザーは少なくともその組織内のプロジェクトへの読み取りアクセス権を持っている必要があります。
- プロジェクト内のクラスターを管理するには、ユーザーは
Project Ownerロールに属している必要があります。
ユーザーの役割と権限の詳細については、 ユーザーの役割を参照してください。
組織
組織には複数のプロジェクトを含めることができます。
TiDB Cloudは、組織レベルで請求を計算し、各プロジェクトの請求の詳細を提供します。
あなたが組織の所有者である場合、組織内で最高の権限を持っています。
たとえば、次のことができます。
- さまざまな目的に応じてさまざまなプロジェクト (開発、ステージング、本番など) を作成します。
- 異なるユーザーに異なる組織の役割とプロジェクトの役割を割り当てます。
- 組織の設定を構成します。たとえば、組織のタイムゾーンを構成します。
プロジェクト
プロジェクトには複数のクラスターを含めることができます。
プロジェクト所有者の場合は、プロジェクトのクラスターとプロジェクト設定を管理できます。
たとえば、次のことができます。
- ビジネス ニーズに応じて複数のクラスターを作成します。
- 異なるユーザーに異なるプロジェクトの役割を割り当てます。
- プロジェクト設定を構成します。たとえば、プロジェクトごとに異なるアラート設定を構成します。
ユーザーの役割
TiDB Cloud は、組織、プロジェクト、またはその両方におけるTiDB Cloudユーザーのさまざまな権限を管理するためのさまざまなユーザー ロールを定義します。
組織レベルまたはプロジェクト レベルでユーザーにロールを付与できます。セキュリティを考慮して、組織とプロジェクトの階層を慎重に計画してください。
組織の役割
組織レベルでは、 TiDB Cloud は4 つの役割を定義しており、そのうちのOrganization Ownerメンバーを招待し、組織の役割をメンバーに付与できます。
| 許可 | Organization Owner | Organization Billing Admin | Organization Console Audit Admin | Organization Member |
|---|---|---|---|---|
| プロジェクト、API キー、タイムゾーンなどの組織設定を管理します。 | ✅ | ❌ | ❌ | ❌ |
| ユーザーを組織に招待または組織から削除し、ユーザーの組織の役割を編集します。 | ✅ | ❌ | ❌ | ❌ |
組織内のすべてのプロジェクトに対するすべての権限はProject Owner 。 | ✅ | ❌ | ❌ | ❌ |
| 顧客管理の暗号化キー (CMEK) を有効にしてプロジェクトを作成する | ✅ | ❌ | ❌ | ❌ |
| 請求書をビュー、 コストエクスプローラーを使用し、組織の支払い情報を編集します。 | ✅ | ✅ | ❌ | ❌ |
| 組織のTiDB Cloud コンソール監査ログを管理します。 | ✅ | ❌ | ✅ | ❌ |
| 組織内のユーザーとメンバーが所属するプロジェクトをビュー。 | ✅ | ✅ | ✅ | ✅ |
注記:
Organization Console Audit Adminロールは、データベース監査ログの代わりに、 TiDB Cloudコンソールで監査ログを管理するために使用されます。データベース監査を管理するには、プロジェクト レベルでProject Owner役割を使用します。
プロジェクトの役割
プロジェクト レベルでは、 TiDB Cloud は3 つの役割を定義し、そのうちのProject Ownerメンバーを招待し、プロジェクトの役割をメンバーに付与できます。
注記:
Organization Ownerすべてのプロジェクトに対するProject Ownerのすべての権限を持っているため、Organization Ownerプロジェクト メンバーを招待し、メンバーにプロジェクトの役割を付与することもできます。- 各プロジェクト ロールには、デフォルトで
Organization Memberのすべての権限が与えられます。- 組織内のユーザーがどのプロジェクトにも属していない場合、そのユーザーにはプロジェクト権限がありません。
| 許可 | Project Owner | Project Data Access Read-Write | Project Data Access Read-Only |
|---|---|---|---|
| プロジェクト設定を管理する | ✅ | ❌ | ❌ |
| プロジェクトにユーザーを招待またはプロジェクトからユーザーを削除し、ユーザーのプロジェクト ロールを編集します。 | ✅ | ❌ | ❌ |
| プロジェクトのデータベース監査ログ管理します。 | ✅ | ❌ | ❌ |
| プロジェクト内のすべての TiDB サーバーレス クラスターに対して支出制限を管理します。 | ✅ | ❌ | ❌ |
| クラスターの作成、変更、削除など、プロジェクト内のクラスター操作を管理します。 | ✅ | ❌ | ❌ |
| ブランチの作成、接続、削除など、プロジェクト内の TiDB サーバーレス クラスターのブランチを管理します。 | ✅ | ❌ | ❌ |
| データのインポート、データのバックアップと復元、データの移行などのクラスター データを管理します。 | ✅ | ✅ | ❌ |
| データを読み取るためのエンドポイントの使用または作成など、データ読み取り専用操作の場合はデータサービスを管理します。 | ✅ | ✅ | ✅ |
| データの読み取りおよび書き込み操作の場合はデータサービスを管理します。 | ✅ | ✅ | ❌ |
| チャット2クエリを使用してクラスター データをビュー。 | ✅ | ✅ | ✅ |
| チャット2クエリを使用してクラスター データを変更および削除します。 | ✅ | ✅ | ❌ |
| プロジェクト内のクラスターのビュー、クラスターのバックアップ レコードの表示、および管理変更フィード 。 | ✅ | ✅ | ✅ |
組織のアクセスを管理する
組織をビュー
自分が所属している組織を確認するには、次の手順を実行します。
- クリック
TiDB Cloudコンソールの左下隅にあります。 - [組織の設定]をクリックします。表示されたページで組織を確認できます。
組織間の切り替え
複数の組織のメンバーである場合は、組織間でアカウントを切り替えることができます。
組織間を切り替えるには、次の手順を実行します。
- クリック
TiDB Cloudコンソールの左下隅にあります。 - 切り替え先の組織の名前をクリックします。
組織のタイムゾーンを設定する
Organization Ownerの役割の場合は、タイムゾーンに応じてシステムの表示時間を変更できます。
ローカル タイムゾーン設定を変更するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 [組織の設定]をクリックします。組織設定ページが表示されます。
[タイム ゾーン]セクションで、ドロップダウン リストからタイム ゾーンを選択します。
「更新」をクリックします。
組織メンバーを招待する
Organization Ownerロールに属している場合は、ユーザーを組織に招待できます。
注記:
必要に応じて直接ユーザーをプロジェクトに招待するすることもできます。これにより、ユーザーが組織のメンバーになります。
メンバーを組織に招待するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 [組織の設定]をクリックします。組織設定ページが表示されます。
左側のナビゲーション ペインで[ユーザー]タブをクリックし、 [組織別]を選択します。
「招待」をクリックします。
招待するユーザーの電子メール アドレスを入力し、ユーザーの組織の役割を選択します。
ヒント:
- 一度に複数のメンバーを招待する場合は、複数の電子メール アドレスを入力できます。
- 招待されたユーザーは、デフォルトではどのプロジェクトにも属していません。ユーザーをプロジェクトに招待するには、 プロジェクトメンバーを招待するを参照してください。
「確認」をクリックします。その後、新しいユーザーがユーザー リストに正常に追加されます。同時に、招待された電子メール アドレスに確認リンクが記載された電子メールが送信されます。
この電子メールを受信した後、ユーザーは電子メール内のリンクをクリックして本人確認を行う必要があり、新しいページが表示されます。
招待された電子メール アドレスがTiDB Cloudアカウントにサインアップしていない場合、ユーザーはアカウントを作成するためのサインアップ ページに移動します。電子メール アドレスがTiDB Cloudアカウントにサインアップされている場合、ユーザーはサインイン ページに誘導され、サインイン後、アカウントは自動的に組織に参加します。
注記:
電子メール内の確認リンクの有効期限は 24 時間です。招待したいユーザーが電子メールを受信しない場合は、 [再送信]をクリックします。
組織の役割を変更する
Organization Ownerロールに属している場合は、組織内のすべてのメンバーの組織ロールを変更できます。
メンバーの組織の役割を変更するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 [組織の設定]をクリックします。組織設定ページが表示されます。
左側のナビゲーション ペインで[ユーザー]タブをクリックし、 [組織別]を選択します。
対象のメンバーのロールをクリックし、ロールを変更します。
組織メンバーを削除する
Organization Ownerロールに属している場合は、組織メンバーを組織から削除できます。
組織からメンバーを削除するには、次の手順を実行します。
注記:
組織からメンバーが削除されると、所属するプロジェクトからもメンバーが削除されます。
クリック
TiDB Cloudコンソールの左下隅にあります。 [組織の設定]をクリックします。組織設定ページが表示されます。
左側のナビゲーション ペインで[ユーザー]タブをクリックし、 [組織別]を選択します。
削除するユーザー行の「削除」をクリックします。
プロジェクトへのアクセスを管理する
プロジェクトをビュー
自分がどのプロジェクトに属しているかを確認するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 [組織の設定]をクリックし、左側のナビゲーション ウィンドウで[プロジェクト]タブをクリックします。 「プロジェクト」タブが表示されます。
ヒント:
複数のプロジェクトがある場合は、
左下隅の をクリックして、別のプロジェクトに切り替えます。
プロジェクトを作成する
注記:
無料トライアルユーザーの場合、新しいプロジェクトを作成することはできません。
Organization Owner役割に属している場合は、組織内にプロジェクトを作成できます。
新しいプロジェクトを作成するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 [組織の設定]をクリックし、左側のナビゲーション ウィンドウで[プロジェクト]タブをクリックします。 「プロジェクト」タブが表示されます。
「新規プロジェクトの作成」をクリックします。
プロジェクト名を入力します。
「確認」をクリックします。
プロジェクトの名前を変更する
Organization Ownerロールに属している場合は、組織内の任意のプロジェクトの名前を変更できます。 Project Owner役割の場合は、プロジェクトの名前を変更できます。
プロジェクトの名前を変更するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 [組織の設定]をクリックし、左側のナビゲーション ウィンドウで[プロジェクト]タブをクリックします。 「プロジェクト」タブが表示されます。
名前を変更するプロジェクトの行で、 「名前の変更」をクリックします。
新しいプロジェクト名を入力します。
「確認」をクリックします。
プロジェクトメンバーを招待する
Organization OwnerまたはProject Owner役割の場合は、プロジェクトにメンバーを招待できます。
注記:
組織に属していないユーザーがプロジェクトに参加すると、そのユーザーも自動的に組織に参加します。
メンバーをプロジェクトに招待するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 [組織の設定]をクリックします。組織設定ページが表示されます。
[ユーザー管理]タブをクリックし、 [プロジェクト別]を選択して、ドロップダウン リストからプロジェクトを選択します。
「招待」をクリックします。
招待するユーザーの電子メール アドレスを入力し、そのユーザーのプロジェクト ロールを選択します。
ヒント:
一度に複数のメンバーを招待する場合は、複数の電子メール アドレスを入力できます。
「確認」をクリックします。その後、新しいユーザーがユーザー リストに正常に追加されます。同時に、招待された電子メール アドレスに確認リンクが記載された電子メールが送信されます。
この電子メールを受信した後、ユーザーは電子メール内のリンクをクリックして本人確認を行う必要があり、新しいページが表示されます。
招待された電子メール アドレスがTiDB Cloudアカウントにサインアップしていない場合、ユーザーはアカウントを作成するためのサインアップ ページに移動します。電子メール アドレスがTiDB Cloudアカウントにサインアップされている場合、ユーザーはサインイン ページに移動します。サインイン後、アカウントは自動的にプロジェクトに参加します。
注記:
電子メール内の確認リンクは 24 時間で期限切れになります。ユーザーが電子メールを受信しない場合は、 [再送信]をクリックします。
プロジェクトの役割を変更する
Organization Ownerロールに属している場合は、組織内のすべてのプロジェクト メンバーのプロジェクト ロールを変更できます。 Project Ownerロールに属している場合は、プロジェクト内のすべてのメンバーのプロジェクト ロールを変更できます。
メンバーのプロジェクト ロールを変更するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 [組織の設定]をクリックします。組織設定ページが表示されます。
[ユーザー管理]タブをクリックし、 [プロジェクト別]を選択して、ドロップダウン リストからプロジェクトを選択します。
対象のメンバーのロールをクリックし、ロールを変更します。
プロジェクトメンバーを削除する
Organization OwnerまたはProject Ownerロールに属している場合は、プロジェクト メンバーを削除できます。
プロジェクトからメンバーを削除するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 [組織の設定]をクリックします。組織設定ページが表示されます。
「ユーザー管理」タブをクリックし、 「プロジェクト別」を選択します。
削除するユーザー行の「削除」をクリックします。
ユーザープロファイルの管理
TiDB Cloudでは、姓、名、電話番号などのプロフィールを簡単に管理できます。
クリック
TiDB Cloudコンソールの左下隅にあります。 [アカウント設定]をクリックします。 [プロファイル]タブはデフォルトで表示されます。
プロファイル情報を更新し、 「保存」をクリックします。