アイデンティティアクセス管理
このドキュメントでは、TiDB Cloudで組織、プロジェクト、ロール、ユーザー プロファイルへのアクセスを管理する方法について説明します。
TiDB Cloudにアクセスする前に、 TiDB Cloudアカウントを作成する . メールアドレスとパスワードでサインアップしてTiDB Cloudを使用してパスワードを管理する 、または Google、GitHub、または Microsoft アカウントを選択してTiDB Cloudへのシングル サインオン (SSO) を行うことができます。
組織とプロジェクト
TiDB Cloud は、 TiDB Cloudユーザーとクラスターの管理を容易にするために、組織とプロジェクトに基づく階層構造を提供します。組織の所有者であれば、組織内に複数のプロジェクトを作成できます。
例えば:
- Your organization
- Project 1
- Cluster 1
- Cluster 2
- Project 2
- Cluster 3
- Cluster 4
- Project 3
- Cluster 5
- Cluster 6
この構造では、
- 組織にアクセスするには、ユーザーはその組織のメンバーである必要があります。
- 組織内のプロジェクトにアクセスするには、ユーザーは少なくともその組織内のプロジェクトに対する読み取りアクセス権を持っている必要があります。
- プロジェクト内のクラスターを管理するには、ユーザーは
Project Ownerロールを持っている必要があります。
ユーザーの役割と権限の詳細については、 ユーザーロール参照してください。
組織
組織には複数のプロジェクトを含めることができます。
TiDB Cloud は組織レベルで課金を計算し、プロジェクトごとに課金の詳細を提供します。
組織の所有者である場合は、組織内で最高の権限を持ちます。
たとえば、次の操作を実行できます。
- さまざまな目的に合わせて、さまざまなプロジェクト (開発、ステージング、本番など) を作成します。
- 異なる組織ロールとプロジェクトロールを持つ異なるユーザーを割り当てます。
- 組織の設定を構成します。たとえば、組織のタイムゾーンを構成します。
プロジェクト
プロジェクトには複数のクラスターを含めることができます。
プロジェクト所有者の場合は、プロジェクトのクラスターとプロジェクト設定を管理できます。
たとえば、次の操作を実行できます。
- ビジネスニーズに応じて複数のクラスターを作成します。
- 異なるユーザーに異なるプロジェクト ロールを割り当てます。
- プロジェクト設定を構成します。たとえば、プロジェクトごとに異なるアラート設定を構成します。
ユーザーロール
TiDB Cloud は、組織、プロジェクト、またはその両方におけるTiDB Cloudユーザーのさまざまな権限を管理するために、さまざまなユーザー ロールを定義します。
組織レベルまたはプロジェクト レベルでユーザーにロールを付与できます。セキュリティを考慮して、組織とプロジェクトの階層を慎重に計画してください。
組織の役割
組織レベルでは、 TiDB Cloud は4 つのロールを定義し、メンバーを招待したり、メンバーに組織ロールを付与しOrganization Ownerできます。
| 許可 | Organization Owner | Organization Billing Admin | Organization Console Audit Admin | Organization Member |
|---|---|---|---|---|
| プロジェクト、API キー、タイムゾーンなどの組織設定を管理します。 | ✅ | ❌ | ❌ | ❌ |
| 組織にユーザーを招待したり、組織からユーザーを削除したり、ユーザーの組織の役割を編集します。 | ✅ | ❌ | ❌ | ❌ |
組織内のすべてのプロジェクトに対するProject Ownerのすべての権限。 | ✅ | ❌ | ❌ | ❌ |
| 顧客管理暗号鍵 (CMEK) を有効にしてプロジェクトを作成する | ✅ | ❌ | ❌ | ❌ |
| 請求書をビュー、 コストエクスプローラー使用し、組織の支払い情報を編集します。 | ✅ | ✅ | ❌ | ❌ |
| 組織のTiDB Cloud コンソール監査ログを管理します。 | ✅ | ❌ | ✅ | ❌ |
| 組織内のユーザーと、メンバーが所属するプロジェクトをビュー。 | ✅ | ✅ | ✅ | ✅ |
注記:
Organization Console Audit Adminロールは、データベース監査ログではなく、 TiDB Cloudコンソールで監査ログを管理するために使用されます。データベース監査を管理するには、プロジェクト レベルでProject Ownerロールを使用します。
プロジェクトの役割
プロジェクト レベルでは、 TiDB Cloud は3 つのロールを定義し、そのうちProject Ownerメンバーを招待し、メンバーにプロジェクト ロールを付与できます。
注記:
Organization Ownerすべてのプロジェクトに対するProject Ownerのすべての権限があるため、Organization Ownerプロジェクト メンバーを招待し、メンバーにプロジェクト ロールを付与することもできます。- 各プロジェクト ロールには、デフォルトで
Organization Memberのすべての権限が付与されます。- 組織内のユーザーがどのプロジェクトにも属していない場合、そのユーザーにはプロジェクト権限がありません。
| 許可 | Project Owner | Project Data Access Read-Write | Project Data Access Read-Only |
|---|---|---|---|
| プロジェクト設定を管理する | ✅ | ❌ | ❌ |
| プロジェクトにユーザーを招待したり、プロジェクトからユーザーを削除したり、ユーザーのプロジェクト ロールを編集します。 | ✅ | ❌ | ❌ |
| プロジェクトのデータベース監査ログを管理します。 | ✅ | ❌ | ❌ |
| プロジェクト内のすべてのTiDB Cloud Serverless クラスターに対して支出限度額管理します。 | ✅ | ❌ | ❌ |
| クラスターの作成、変更、削除など、プロジェクト内のクラスター操作を管理します。 | ✅ | ❌ | ❌ |
| ブランチの作成、接続、削除など、プロジェクト内のTiDB Cloud Serverless クラスターのブランチを管理します。 | ✅ | ❌ | ❌ |
| リカバリ グループの作成や削除など、プロジェクト内のTiDB Cloud Dedicated クラスターの回復グループを管理します。 | ✅ | ❌ | ❌ |
| データのインポート、データのバックアップと復元、データの移行などのクラスター データを管理します。 | ✅ | ✅ | ❌ |
| エンドポイントの使用や作成など、データ読み取り専用操作の場合はデータサービス管理してデータを読み込みます。 | ✅ | ✅ | ✅ |
| データの読み取りおよび書き込み操作についてはデータサービス管理します。 | ✅ | ✅ | ❌ |
| SQL エディターを使用してクラスター データをビュー。 | ✅ | ✅ | ✅ |
| SQL エディターを使用してクラスターデータを変更および削除します。 | ✅ | ✅ | ❌ |
| プロジェクト内のクラスターをビュー、クラスターのバックアップ レコードを表示し、 チェンジフィード管理します。 | ✅ | ✅ | ✅ |
組織アクセスの管理
組織をビュー
自分が所属する組織を確認するには、次の手順を実行します。
- クリック
TiDB Cloudコンソールの左下隅にあります。 - 「組織設定」をクリックします。表示されるページで組織を確認できます。
組織間の切り替え
複数の組織のメンバーである場合は、組織間でアカウントを切り替えることができます。
組織を切り替えるには、次の手順を実行します。
- クリック
TiDB Cloudコンソールの左下隅にあります。 - 切り替え先の組織の名前をクリックします。
組織のタイムゾーンを設定する
ロールOrganization Ownerの場合は、タイム ゾーンに応じてシステム表示時刻を変更できます。
ローカルタイムゾーン設定を変更するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 「組織設定」をクリックします。組織設定ページが表示されます。
「タイムゾーン」セクションで、ドロップダウンリストからタイムゾーンを選択します。
[更新]をクリックします。
組織メンバーを招待する
Organization Ownerロールの場合は、ユーザーを組織に招待できます。
注記:
必要に応じて直接プロジェクトにユーザーを招待するすることもできます。これにより、ユーザーを組織のメンバーにすることもできます。
組織にメンバーを招待するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 「組織設定」をクリックします。組織設定ページが表示されます。
左側のナビゲーション ペインで[ユーザー]タブをクリックし、 [組織別]を選択します。
[招待]をクリックします。
招待するユーザーのメールアドレスを入力し、ユーザーの組織の役割を選択します。
ヒント:
- 一度に複数のメンバーを招待する場合は、複数のメールアドレスを入力できます。
- 招待されたユーザーは、デフォルトではどのプロジェクトにも属していません。ユーザーをプロジェクトに招待するには、 プロジェクトメンバーを招待する参照してください。
「確認」をクリックします。すると、新しいユーザーがユーザーリストに正常に追加されます。同時に、招待されたメールアドレスに確認リンクが記載されたメールが送信されます。
このメールを受信した後、ユーザーはメール内のリンクをクリックして本人確認を行う必要があり、新しいページが表示されます。
招待されたメール アドレスがTiDB Cloudアカウントにサインアップされていない場合、ユーザーはサインアップ ページに移動してアカウントを作成します。メール アドレスがTiDB Cloudアカウントにサインアップされている場合、ユーザーはサインイン ページに移動され、サインインすると、アカウントは自動的に組織に参加します。
注記:
メール内の確認リンクは 24 時間で期限切れになります。招待したいユーザーがメールを受信しない場合は、 [再送信] をクリックしてください。
組織の役割を変更する
Organization Ownerロールの場合は、組織内のすべてのメンバーの組織ロールを変更できます。
メンバーの組織の役割を変更するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 「組織設定」をクリックします。組織設定ページが表示されます。
左側のナビゲーション ペインで[ユーザー]タブをクリックし、 [組織別]を選択します。
対象メンバーの役割をクリックし、役割を変更します。
組織メンバーを削除する
Organization Ownerロールの場合は、組織から組織メンバーを削除できます。
組織からメンバーを削除するには、次の手順を実行します。
注記:
メンバーが組織から削除されると、そのメンバーは所属するプロジェクトからも削除されます。
クリック
TiDB Cloudコンソールの左下隅にあります。 「組織設定」をクリックします。組織設定ページが表示されます。
左側のナビゲーション ペインで[ユーザー]タブをクリックし、 [組織別]を選択します。
削除したいユーザー行で「削除」をクリックします。
プロジェクトアクセスの管理
プロジェクトをビュー
自分がどのプロジェクトに属しているかを確認するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 [組織設定]をクリックし、左側のナビゲーション ペインで[プロジェクト]タブをクリックします。 [プロジェクト]タブが表示されます。
ヒント:
複数のプロジェクトがある場合は、
左下隅にある をクリックして、別のプロジェクトに切り替えます。
プロジェクトを作成する
注記:
無料トライアルユーザーの場合、新しいプロジェクトを作成することはできません。
Organization Ownerロールの場合は、組織内にプロジェクトを作成できます。
新しいプロジェクトを作成するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 [組織設定]をクリックし、左側のナビゲーション ペインで[プロジェクト]タブをクリックします。 [プロジェクト]タブが表示されます。
「新しいプロジェクトの作成」をクリックします。
プロジェクト名を入力してください。
[確認]をクリックします。
プロジェクト名を変更する
Organization Ownerロールの場合は、組織内の任意のプロジェクトのProject Ownerを変更できます。3 ロールの場合は、プロジェクトの名前を変更できます。
プロジェクトの名前を変更するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 [組織設定]をクリックし、左側のナビゲーション ペインで[プロジェクト]タブをクリックします。 [プロジェクト]タブが表示されます。
名前を変更するプロジェクトの行で、 「名前の変更」をクリックします。
新しいプロジェクト名を入力します。
[確認]をクリックします。
プロジェクトメンバーを招待する
ロールOrganization OwnerまたはProject Ownerの場合は、プロジェクトにメンバーを招待できます。
注記:
組織外のユーザーがプロジェクトに参加すると、そのユーザーも自動的に組織に参加します。
プロジェクトにメンバーを招待するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 「組織設定」をクリックします。組織設定ページが表示されます。
[ユーザー管理]タブをクリックし、 [プロジェクト別]を選択して、ドロップダウン リストからプロジェクトを選択します。
[招待]をクリックします。
招待するユーザーのメールアドレスを入力し、ユーザーのプロジェクトロールを選択します。
ヒント:
一度に複数のメンバーを招待する場合は、複数のメールアドレスを入力できます。
「確認」をクリックします。すると、新しいユーザーがユーザーリストに正常に追加されます。同時に、招待されたメールアドレスに確認リンクが記載されたメールが送信されます。
このメールを受信した後、ユーザーはメール内のリンクをクリックして本人確認を行う必要があり、新しいページが表示されます。
招待されたメール アドレスがTiDB Cloudアカウントにサインアップされていない場合、ユーザーはサインアップ ページに移動してアカウントを作成します。メール アドレスがTiDB Cloudアカウントにサインアップされている場合、ユーザーはサインイン ページに移動します。サインインすると、アカウントは自動的にプロジェクトに参加します。
注記:
メール内の確認リンクは 24 時間で期限切れになります。ユーザーがメールを受信しない場合は、 [再送信] をクリックしてください。
プロジェクトロールの変更
Organization Ownerロールの場合は、組織内のすべてのプロジェクト メンバーのプロジェクト ロールを変更できます。3 Project Ownerの場合は、プロジェクト内のすべてのメンバーのプロジェクト ロールを変更できます。
メンバーのプロジェクト ロールを変更するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 「組織設定」をクリックします。組織設定ページが表示されます。
[ユーザー管理]タブをクリックし、 [プロジェクト別]を選択して、ドロップダウン リストからプロジェクトを選択します。
対象メンバーの役割をクリックし、役割を変更します。
プロジェクトメンバーを削除する
ロールOrganization OwnerまたはProject Ownerの場合は、プロジェクト メンバーを削除できます。
プロジェクトからメンバーを削除するには、次の手順を実行します。
クリック
TiDB Cloudコンソールの左下隅にあります。 「組織設定」をクリックします。組織設定ページが表示されます。
[ユーザー管理]タブをクリックし、[**プロジェクト別]**を選択します。
削除したいユーザー行で「削除」をクリックします。
ユーザープロファイルを管理する
TiDB Cloudでは、名、姓、電話番号などのプロフィールを簡単に管理できます。
クリック
TiDB Cloudコンソールの左下隅にあります。 [アカウント設定]をクリックします。デフォルトでは、 [プロフィール]タブが表示されます。
プロフィール情報を更新し、 「保存」をクリックします。