アイデンティティアクセス管理
このドキュメントでは、 TiDB Cloudで組織、プロジェクト、ロール、ユーザー プロファイルへのアクセスを管理する方法について説明します。
TiDB Cloudにアクセスする前に、 TiDB Cloudアカウントを作成する . メールアドレスとパスワードでサインアップするか、 TiDB Cloudを使用してパスワードを管理する . Google、GitHub、または Microsoft アカウントを選択してTiDB Cloudへのシングル サインオン (SSO) を行うことができます。
組織とプロジェクト
TiDB Cloudは、組織とプロジェクトに基づく階層構造を提供し、 TiDB Cloudユーザーとクラスターの管理を容易にします。組織のオーナーであれば、組織内に複数のプロジェクトを作成できます。
例えば:
- Your organization
- Project 1
- Cluster 1
- Cluster 2
- Project 2
- Cluster 3
- Cluster 4
- Project 3
- Cluster 5
- Cluster 6
この構造では、次のようになります。
- 組織にアクセスするには、ユーザーはその組織のメンバーである必要があります。
- 組織内のプロジェクトにアクセスするには、ユーザーは少なくともその組織内のプロジェクトに対する読み取りアクセス権を持っている必要があります。
- プロジェクト内のクラスターを管理するには、ユーザーは
Project Owner
ロールを持っている必要があります。
ユーザーの役割と権限の詳細については、 ユーザーロール参照してください。
組織
組織には複数のプロジェクトを含めることができます。
TiDB Cloud は組織レベルで課金を計算し、プロジェクトごとに課金の詳細を提供します。
組織の所有者である場合は、組織内で最高の権限を持ちます。
たとえば、次の操作を実行できます。
- 目的に応じて異なるプロジェクト (開発、ステージング、本番など) を作成します。
- 異なる組織ロールとプロジェクトロールを持つ異なるユーザーを割り当てます。
- 組織の設定を構成します。たとえば、組織のタイムゾーンを構成します。
プロジェクト
プロジェクトには複数のクラスターを含めることができます。
プロジェクト オーナーの場合は、プロジェクトのクラスターとプロジェクト設定を管理できます。
たとえば、次の操作を実行できます。
- ビジネスニーズに応じて複数のクラスターを作成します。
- 異なるユーザーに異なるプロジェクト ロールを割り当てます。
- プロジェクト設定を構成します。たとえば、プロジェクトごとに異なるアラート設定を構成します。
ユーザーロール
TiDB Cloud は、組織、プロジェクト、またはその両方におけるTiDB Cloudユーザーのさまざまな権限を管理するために、さまざまなユーザー ロールを定義します。
ユーザーにロールを付与するには、組織レベルまたはプロジェクトレベルのいずれかを選択できます。セキュリティを考慮して、組織とプロジェクトの階層を慎重に計画してください。
組織の役割
組織レベルでは、 TiDB Cloud は4 つのロールを定義Organization Owner
ており、メンバーを招待したり、メンバーに組織ロールを付与したりできます。
許可 | Organization Owner | Organization Billing Manager | Organization Billing Viewer | Organization Console Audit Manager | Organization Viewer |
---|---|---|---|---|---|
プロジェクト、API キー、タイムゾーンなどの組織設定を管理します。 | ✅ | ❌ | ❌ | ❌ | ❌ |
組織にユーザーを招待したり、組織からユーザーを削除したり、ユーザーの組織の役割を編集します。 | ✅ | ❌ | ❌ | ❌ | ❌ |
組織内のすべてのプロジェクトに対するProject Owner のすべての権限。 | ✅ | ❌ | ❌ | ❌ | ❌ |
顧客管理暗号化キー (CMEK) を有効にしてプロジェクトを作成します。 | ✅ | ❌ | ❌ | ❌ | ❌ |
組織の支払い情報を編集します。 | ✅ | ✅ | ❌ | ❌ | ❌ |
請求書をビューコストエクスプローラー使用します。 | ✅ | ✅ | ✅ | ❌ | ❌ |
組織のTiDB Cloud コンソール監査ログを管理します。 | ✅ | ❌ | ❌ | ✅ | ❌ |
組織内のユーザーと、メンバーが所属するプロジェクトをビュー。 | ✅ | ✅ | ✅ | ✅ | ✅ |
注記:
- ロール
Organization Console Audit Manager
(Organization Console Audit Admin
から名称変更)は、データベース監査ログではなく、 TiDB Cloudコンソールの監査ログを管理するために使用されます。データベース監査を管理するには、プロジェクトレベルでロールProject Owner
使用してください。Organization Billing Manager
ロールはOrganization Billing Admin
から名前が変更され、Organization Viewer
ロールはOrganization Member
から名前が変更されました。
プロジェクトの役割
プロジェクト レベルでは、 TiDB Cloud は3 つのロールを定義し、メンバーを招待したり、メンバーにプロジェクト ロールを付与したりできますProject Owner
注記:
Organization Owner
すべてのプロジェクトに対するProject Owner
のすべての権限を持っているため、Organization Owner
プロジェクト メンバーを招待し、メンバーにプロジェクト ロールを付与することもできます。- 各プロジェクト ロールには、デフォルトで
Organization Viewer
のすべての権限が付与されます。- 組織内のユーザーがどのプロジェクトにも属していない場合、そのユーザーにはプロジェクト権限がありません。
許可 | Project Owner | Project Data Access Read-Write | Project Data Access Read-Only | Project Viewer |
---|---|---|---|---|
プロジェクト設定を管理する | ✅ | ❌ | ❌ | ❌ |
プロジェクトにユーザーを招待したり、プロジェクトからユーザーを削除したり、ユーザーのプロジェクト ロールを編集したりします。 | ✅ | ❌ | ❌ | ❌ |
プロジェクトのデータベース監査ログ管理します。 | ✅ | ❌ | ❌ | ❌ |
プロジェクト内のすべてのTiDB Cloud Starter クラスターに対して支出限度額管理します。 | ✅ | ❌ | ❌ | ❌ |
クラスターの作成、変更、削除など、プロジェクト内のクラスター操作を管理します。 | ✅ | ❌ | ❌ | ❌ |
プロジェクト内のTiDB Cloud Starter およびTiDB Cloud Essential クラスターのブランチ(ブランチの作成、接続、削除など)を管理します。 | ✅ | ❌ | ❌ | ❌ |
リカバリ グループの作成や削除など、プロジェクト内のTiDB Cloud Dedicated クラスターの回復グループ管理します。 | ✅ | ❌ | ❌ | ❌ |
データのインポート、データのバックアップと復元、データの移行などのクラスター データを管理します。 | ✅ | ✅ | ❌ | ❌ |
エンドポイントの使用や作成など、データの読み取り専用操作についてはデータサービス管理して、データを読み取ってください。 | ✅ | ✅ | ✅ | ❌ |
データの読み取りおよび書き込み操作の場合はデータサービス管理します。 | ✅ | ✅ | ❌ | ❌ |
SQLエディター使用してクラスター データをビュー。 | ✅ | ✅ | ✅ | ❌ |
SQLエディター使用してクラスターデータを変更および削除します。 | ✅ | ✅ | ❌ | ❌ |
チェンジフィード管理します。 | ✅ | ✅ | ✅ | ❌ |
クラスターのパスワードを確認してリセットします。 | ✅ | ❌ | ❌ | ❌ |
プロジェクト内のクラスターの概要、バックアップ レコード、メトリック、イベント、およびチェンジフィードビュー。 | ✅ | ✅ | ✅ | ✅ |
組織のアクセスを管理する
組織のビューと切り替え
組織を表示したり切り替えたりするには、次の手順を実行します。
TiDB Cloudコンソールで、左上隅のコンボボックスをクリックします。所属する組織とプロジェクトのリストが表示されます。
ヒント:
- 現在特定のクラスターのページにいる場合は、左上隅のコンボ ボックスをクリックした後、コンボ ボックスの ← をクリックして組織とプロジェクトのリストに戻る必要があります。
- 複数の組織のメンバーである場合は、コンボ ボックス内の対象の組織名をクリックして、組織間でアカウントを切り替えることができます。
組織 ID やタイム ゾーンなどの組織の詳細情報を表示するには、組織名をクリックし、左側のナビゲーション ペインで[組織設定] > [全般]をクリックします。
組織のタイムゾーンを設定する
ロールOrganization Owner
の場合、タイム ゾーンに応じてシステムの表示時刻を変更できます。
ローカルタイムゾーン設定を変更するには、次の手順を実行します。
TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
左側のナビゲーション ペインで、 [組織設定] > [全般]をクリックします。
「タイムゾーン」セクションで、ドロップダウンリストからタイムゾーンを選択します。
[更新]をクリックします。
組織メンバーを招待する
Organization Owner
ロールの場合は、ユーザーを組織に招待できます。
注記:
必要に応じて直接プロジェクトにユーザーを招待する選択して、そのユーザーを組織のメンバーにすることもできます。
組織にメンバーを招待するには、次の手順を実行します。
TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
左側のナビゲーション ペインで、 [組織設定] > [ユーザー]をクリックします。
[ユーザー]ページで、 [組織別]タブをクリックします。
[招待]をクリックします。
招待するユーザーのメール アドレスを入力し、ユーザーの組織の役割を選択します。
ヒント:
- 一度に複数のメンバーを招待する場合は、複数のメールアドレスを入力できます。
- 招待されたユーザーは、デフォルトではどのプロジェクトにも所属していません。ユーザーをプロジェクトに招待するには、 プロジェクトメンバーを招待する参照してください。
「確認」をクリックすると、新しいユーザーがユーザーリストに追加されます。同時に、招待されたメールアドレスに確認リンクが記載されたメールが送信されます。
このメールを受信した後、ユーザーはメール内のリンクをクリックして本人確認を行う必要があり、新しいページが表示されます。
招待されたメールアドレスがTiDB Cloudアカウントに登録されていない場合、ユーザーはアカウント作成のためのサインアップページに移動します。メールアドレスがTiDB Cloudアカウントに登録されている場合、ユーザーはサインインページに移動し、サインインするとアカウントが自動的に組織に参加します。
注記:
メール内の確認リンクは24時間で有効期限が切れます。招待したいユーザーがメールを受信していない場合は、 「再送信」をクリックしてください。
組織の役割を変更する
Organization Owner
ロールの場合は、組織内のすべてのメンバーの組織ロールを変更できます。
メンバーの組織の役割を変更するには、次の手順を実行します。
TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
左側のナビゲーション ペインで、 [組織設定] > [ユーザー]をクリックします。
[ユーザー]ページで、 [組織別]タブをクリックします。
対象メンバーの役割をクリックし、役割を変更します。
組織メンバーを削除する
Organization Owner
ロールの場合は、組織から組織メンバーを削除できます。
組織からメンバーを削除するには、次の手順を実行します。
注記:
メンバーが組織から削除されると、そのメンバーは所属プロジェクトからも削除されます。
TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
左側のナビゲーション ペインで、 [組織設定] > [ユーザー]をクリックします。
[ユーザー]ページで、 [組織別]タブをクリックします。
対象メンバーの行で、 ... >削除をクリックします。
プロジェクトアクセスの管理
プロジェクトのビューと切り替え
プロジェクトを表示したり切り替えたりするには、次の手順を実行します。
TiDB Cloudコンソールで、左上隅のコンボボックスをクリックします。所属する組織とプロジェクトのリストが表示されます。
ヒント:
- 現在特定のクラスターのページにいる場合は、左上隅のコンボ ボックスをクリックした後、コンボ ボックスの ← をクリックして組織とプロジェクトのリストに戻る必要があります。
- 複数のプロジェクトのメンバーである場合は、コンボ ボックス内の対象のプロジェクト名をクリックして、プロジェクト間を切り替えることができます。
プロジェクトの詳細情報を表示するには、プロジェクト名をクリックし、左側のナビゲーション ペインで[プロジェクト設定] をクリックします。
プロジェクトを作成する
注記:
無料トライアルユーザーの場合、新しいプロジェクトを作成することはできません。
Organization Owner
ロールの場合は、組織内にプロジェクトを作成できます。
新しいプロジェクトを作成するには、次の手順を実行します。
TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
左側のナビゲーション ペインで、 [プロジェクト]をクリックします。
「プロジェクト」ページで、 「新しいプロジェクトの作成」をクリックします。
プロジェクト名を入力してください。
[確認]をクリックします。
プロジェクトの名前を変更する
Organization Owner
ロールの場合は、組織内の任意のプロジェクトの名前を変更できます。3 Project Owner
の場合は、プロジェクトの名前を変更できます。
プロジェクトの名前を変更するには、次の手順を実行します。
TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
左側のナビゲーション ペインで、 [プロジェクト]をクリックします。
名前を変更するプロジェクトの行で、 ... >名前の変更をクリックします。
新しいプロジェクト名を入力します。
[確認]をクリックします。
プロジェクトメンバーを招待する
ロールOrganization Owner
またはProject Owner
の場合は、プロジェクトにメンバーを招待できます。
注記:
組織外のユーザーがプロジェクトに参加すると、そのユーザーは自動的に組織にも参加します。
プロジェクトにメンバーを招待するには、次の手順を実行します。
TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
左側のナビゲーション ペインで、 [組織設定] > [ユーザー]をクリックします。
[ユーザー]ページで[プロジェクト別]タブをクリックし、ドロップダウン リストからプロジェクトを選択します。
[招待]をクリックします。
招待するユーザーのメールアドレスを入力し、ユーザーのプロジェクト ロールを選択します。
ヒント:
一度に複数のメンバーを招待する場合は、複数のメールアドレスを入力できます。
「確認」をクリックすると、新しいユーザーがユーザーリストに追加されます。同時に、招待されたメールアドレスに確認リンクが記載されたメールが送信されます。
このメールを受信した後、ユーザーはメール内のリンクをクリックして本人確認を行う必要があり、新しいページが表示されます。
招待されたメールアドレスがTiDB Cloudアカウントに登録されていない場合、ユーザーはアカウント作成のためのサインアップページに移動します。メールアドレスがTiDB Cloudアカウントに登録済みの場合、ユーザーはサインインページに移動します。サインイン後、アカウントは自動的にプロジェクトに参加します。
注記:
メール内の確認リンクは24時間後に期限切れとなります。ユーザーがメールを受信していない場合は、 「再送信」をクリックしてください。
プロジェクトロールの変更
Organization Owner
ロールの場合は、組織内のすべてのプロジェクトメンバーのプロジェクトロールを変更できます。3 Project Owner
の場合は、プロジェクト内のすべてのメンバーのプロジェクトロールを変更できます。
メンバーのプロジェクト ロールを変更するには、次の手順を実行します。
TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
左側のナビゲーション ペインで、 [組織設定] > [ユーザー]をクリックします。
[ユーザー]ページで[プロジェクト別]タブをクリックし、ドロップダウン リストからプロジェクトを選択します。
対象メンバーの行で、 [ロール] 列のロールをクリックし、ドロップダウン リストから新しいロールを選択します。
プロジェクトメンバーを削除する
ロールOrganization Owner
またはProject Owner
の場合は、プロジェクト メンバーを削除できます。
プロジェクトからメンバーを削除するには、次の手順を実行します。
TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
左側のナビゲーション ペインで、 [組織設定] > [ユーザー]をクリックします。
[ユーザー]ページで[プロジェクト別]タブをクリックし、ドロップダウン リストからプロジェクトを選択します。
対象メンバーの行で、 ... >削除をクリックします。
ユーザープロファイルを管理する
TiDB Cloudでは、名、姓、電話番号などのプロフィールを簡単に管理できます。
TiDB Cloudコンソールで、
左下隅にあります。 [アカウント設定]をクリックします。
表示されたダイアログでプロファイル情報を更新し、 「更新」をクリックします。