IDアクセス管理

このドキュメントでは、TiDB Cloudにおける組織、プロジェクト、リソース、役割、およびユーザープロファイルへのアクセスを管理する方法について説明します。

TiDB Cloudにアクセスする前に、 TiDB Cloudアカウントを作成する。 TiDB Cloudを使用してパスワードを管理するパスワードを管理できるように電子メールとパスワードでサインアップすることも、 TiDB Cloudへのシングルサインオン (SSO) 用に Google、GitHub、または Microsoft アカウントを選択することもできます。

組織、プロジェクト、およびリソース

TiDB Cloudは、組織、プロジェクト、リソースに基づいた階層構造を採用しており、ユーザーとTiDBデプロイメントの管理を支援します。

組織とは、 TiDB Cloudアカウント（任意の数のメンバーアカウントを含む管理アカウントを含む）、プロジェクトを管理するために使用する最上位のエンティティ（会社や顧客など）です。リソース
プロジェクトとは、 TiDB Cloudのリソースを格納するコンテナです。
- TiDB Cloud StarterおよびEssentialインスタンスの場合、プロジェクトはオプションの論理コンテナです。つまり、これらのインスタンスをプロジェクトにグループ化することも、組織レベルで保持することもできます。
- TiDB Cloud Dedicatedクラスターの場合、プロジェクトはインフラストラクチャに紐づいており必須です。つまり、管理上の目的で、 TiDB Cloud Dedicatedクラスターはプロジェクトにグループ化する必要があります。
TiDB Cloudのリソースは、TiDB X インスタンス（例えば、 TiDB Cloud StarterやTiDB Cloud Essential）またはTiDB Cloud Dedicatedクラスタのいずれかになります。

組織のオーナーであれば、組織内で複数のプロジェクトを作成できます。

TiDB Xインスタンスについては、プロジェクトごとにグループ化するか、組織レベルで直接管理するかを選択できます。
TiDB Cloud Dedicatedクラスターの場合、それらをプロジェクトにグループ化する必要があります。

以下は階層構造の一例です。

- Your organization
    - TiDB X instances out of any project
        - TiDB Cloud Starter instance 1
        - TiDB Cloud Essential instance 1
    - TiDB X project 1
        - TiDB Cloud Starter instance 2
        - TiDB Cloud Starter instance 3
        - TiDB Cloud Essential instance 2
    - TiDB Dedicated project 1
        - TiDB Cloud Dedicated cluster 1
        - TiDB Cloud Dedicated cluster 2

この構造の下では：

組織にアクセスするには、ユーザーはその組織のメンバーである必要があります。
組織内のプロジェクトにアクセスするには、ユーザーは少なくともその組織内のプロジェクトに対する読み取りアクセス権を持っている必要があります。
特定のTiDB Xインスタンスにアクセスするには、プロジェクトロールまたはインスタンスロールのいずれかを通じてユーザーにアクセス権を付与することができます。
TiDB Cloud Dedicatedクラスターにアクセスするには、ユーザーはクラスターが配置されているプロジェクトへの読み取りアクセス権を持っている必要があります。

ユーザーの役割と権限の詳細については、ユーザーロールを参照してください。

組織

組織には複数のプロジェクトと、どのプロジェクトにもグループ化されていないTiDB Xインスタンスが含まれる場合があります。

TiDB Cloudは組織レベルで課金計算を行い、各プロジェクトおよびリソースごとの課金詳細を提供します。

組織のオーナーであれば、組織内で最も高い権限を持っています。

例えば、次のようなことができます。

目的に応じて、開発、ステージング、本番など、さまざまなプロジェクトを作成します。
異なるユーザーに、異なる組織ロール、プロジェクトロール、インスタンスロールを割り当てます。
組織設定を構成します。たとえば、組織のタイムゾーンを設定します。

プロジェクト

プロジェクトは、 TiDB Cloudのリソースをグループ化して管理します。

TiDB Cloudには、3種類のプロジェクトがあります。

TiDB Dedicatedプロジェクト：このプロジェクトタイプは、 TiDB Cloud Dedicatedクラスタでのみ使用されます。RBAC、ネットワーク、メンテナンス、アラート購読、暗号化アクセスなど、 TiDB Cloud Dedicatedクラスタの設定をプロジェクトごとに個別に管理できます。
TiDB X プロジェクト: このプロジェクトタイプは、TiDB X インスタンス (TiDB Cloud StarterおよびTiDB Cloud Essential) でのみ使用されます。プロジェクトごとに TiDB X インスタンスの RBAC を管理できます。TiDB X プロジェクトは私のTiDBページでプロジェクトを作成する際のデフォルトのプロジェクトタイプです。
TiDB X 仮想プロジェクト: このプロジェクトは仮想プロジェクトであり、管理機能は提供しません。これは、どのプロジェクトにも属さない TiDB X インスタンス (TiDB Cloud StarterおよびTiDB Cloud Essential) の仮想コンテナーとして機能するため、プロジェクト ID を使用してTiDB Cloud API を介してこれらのインスタンスにアクセスできます。各組織には一意の仮想プロジェクト ID があります。この ID は、TiDB Cloud API のアクセス可能なプロジェクトをすべて一覧表示します。。

以下の表は、これらのプロジェクトタイプ間の違いを示しています。

特徴	TiDB Dedicatedプロジェクト	TiDB Xプロジェクト	TiDB X 仮想プロジェクト
私のTiDBページのプロジェクトビューのプロジェクトアイコン	（Dの文字が入ったフォルダアイコン）	（通常のフォルダアイコン）	プロジェクトビューには、「プロジェクト外」リストに、どのプロジェクトにも割り当てられていないTiDB Xインスタンスが表示されます。
プロジェクト内のリソースタイプ	TiDB Cloud Dedicatedクラスターのみ	TiDB Xインスタンスのみ	TiDB Xインスタンスのみ
プロジェクトは任意です	❌ （各TiDB Cloud Dedicatedクラスターは、Dedicatedプロジェクトに属している必要があります。）	✅ （TiDB Xインスタンスは、TiDB Xプロジェクトにグループ化することも、組織レベルで管理することもできます。）	どのプロジェクトにも割り当てられていないTiDB Xインスタンスは、自動的にTiDB X仮想プロジェクトにグループ化されます。
プロジェクト設定	✅	❌	❌
インフラストラクチャバインディング	✅ （強力な綴じ方）	❌	❌
RBACモデル	組織 -> プロジェクト	組織 -> プロジェクト -> インスタンス	組織 -> プロジェクト -> インスタンス
プロジェクトレベルのRBAC	✅	✅	❌
プロジェクトレベルの請求	✅	✅	❌
TiDB Xプロジェクト間またはグローバルスコープでのインスタンスの移動	❌	✅	✅ （グローバル限定）

ユーザーロール

TiDB Cloudは、組織、プロジェクト、インスタンスの各レベルで権限を管理するために、さまざまなユーザーロールを定義しています。

組織レベル、プロジェクトレベル、インスタンスレベルでユーザーに役割を付与できます。セキュリティ上の考慮事項を踏まえ、組織、プロジェクト、リソースの階層構造を慎重に計画してください。

組織における役割

組織レベルでは、 TiDB Cloud は5 つの役割を定義しており、 Organization Ownerはメンバーを招待したり、メンバーに組織の役割を付与したりできます。

許可	`Organization Owner`	`Organization Billing Manager`	`Organization Billing Viewer`	`Organization Console Audit Manager`	`Organization Viewer`
プロジェクト、APIキー、タイムゾーンなどの組織設定を管理します。	✅	❌	❌	❌	❌
組織へのユーザーの招待や削除、およびユーザーの組織内役割の編集を行います。	✅	❌	❌	❌	❌
組織内のすべてのプロジェクトに対する`Project Owner`のすべての権限、および組織内のすべての TiDB X インスタンスに対する TiDB X インスタンスロールのすべての権限。	✅	❌	❌	❌	❌
顧客管理暗号化キー（CMEK）を有効にしたプロジェクトを作成します。	✅	❌	❌	❌	❌
組織の支払い情報を編集します。	✅	✅	❌	❌	❌
請求書をビュー、コストエクスプローラーを使用します。	✅	✅	✅	❌	❌
組織のTiDB Cloud コンソール監査ログを管理します。	✅	❌	❌	✅	❌
組織内のユーザーと、そのメンバーが所属するプロジェクトをビュー。	✅	✅	✅	✅	✅

注記：
Organization Console Audit Managerロール（以前はOrganization Console Audit Adminでした）は、データベース監査ログではなく、 TiDB Cloudコンソールでの監査ログの管理に使用されます。データベース監査を管理するには、プロジェクトレベルでProject Ownerロールを使用してください。
Organization Billing ManagerロールはOrganization Billing Adminから名前が変更され、 Organization ViewerロールはOrganization Memberから名前が変更されました。

プロジェクトの役割

プロジェクトレベルでは、 TiDB Cloud は4 つの役割を定義しており、 Project Ownerはメンバーを招待したり、メンバーにプロジェクトの役割を付与したりできます。

注記：
Organization Ownerすべてのプロジェクトに対してProject Ownerのすべての権限を持っているため、 Organization Ownerもプロジェクトメンバーを招待したり、メンバーにプロジェクトの役割を付与したりできます。
各プロジェクトロールには、デフォルトでOrganization Viewerのすべての権限が付与されています。
組織内のユーザーがどのプロジェクトにも所属していない場合、そのユーザーにはプロジェクトに関する権限は一切ありません。
TiDB XプロジェクトとTiDB Dedicatedプロジェクトの両方において、プロジェクトロールはプロジェクト内のリソースへのアクセスを制御します。TiDB Dedicatedプロジェクトの場合、プロジェクトロールはDedicated固有のプロジェクト設定も制御します。
TiDB X 仮想プロジェクトには管理機能がないため、プロジェクトロールは TiDB X 仮想プロジェクトには適用されません。どの TiDB X プロジェクトにもグループ化されていない特定の TiDB X インスタンスの RBAC を管理するには、インスタンスロールを使用してください。

許可	`Project Owner`	`Project Data Access Read-Write`	`Project Data Access Read-Only`	`Project Viewer`
プロジェクト設定の管理	✅	❌	❌	❌
プロジェクトへのユーザーの招待や削除、およびユーザーのプロジェクトにおける役割の編集を行います。	✅	❌	❌	❌
プロジェクトのデータベース監査ログ管理します。	✅	❌	❌	❌
プロジェクト内のすべてのTiDB Cloud Starterインスタンスの支出限度額を管理します。	✅	❌	❌	❌
プロジェクトの種類に応じてサポートされるインスタンスやクラスタの作成、変更、移動、削除など、プロジェクト内のリソース操作を管理します。	✅	❌	❌	❌
プロジェクト内のTiDB Cloud StarterおよびTiDB Cloud Essentialインスタンスのブランチを管理します。ブランチの作成、接続、削除などを行います。	✅	❌	❌	❌
データインポート、データバックアップと復元、データ移行などのリソースデータを管理します。	✅	✅	❌	❌
データを読み取るためのエンドポイントの使用または作成など、データ読み取り専用操作のデータサービスを管理します。	✅	✅	✅	❌
データの読み取りおよび書き込み操作のためのデータサービスを管理します。	✅	✅	❌	❌
リソースタイプでサポートされている場合は、SQLエディタを使用してリソースデータをビュー。	✅	✅	✅	❌
リソースの種類でサポートされている場合は、SQLエディタを使用してリソースデータを変更および削除します。	✅	✅	❌	❌
変更フィードを管理します。	✅	✅	✅	❌
リソースの種類が対応している場合は、リソースのパスワードを確認し、リセットしてください。	✅	❌	❌	❌
プロジェクト内のリソースの概要、バックアップレコード、メトリック、イベント、および変更フィードをビュー。	✅	✅	✅	✅

インスタンスロール

TiDB Xインスタンスはインスタンスレベルのロールをサポートしているため、プロジェクト内のすべてのリソースに同じアクセス権を付与することなく、単一のTiDB Xインスタンスにのみアクセス権を付与できます。

注記：
インスタンスロールは、 TiDB Cloud StarterおよびTiDB Cloud Essentialにのみ適用されます。TiDB Cloud Dedicatedクラスターはインスタンスロールをサポートしていません。
Organization Owner組織内のすべての TiDB X インスタンスに対するすべての権限を自動的に持っています。
各インスタンスロールは、デフォルトでOrganization Viewerロールのすべての権限を継承します。
プロジェクトロールとインスタンスロールは加算式です。ユーザーはプロジェクトロールからアクセス権を継承できるだけでなく、個々のインスタンスに対してより具体的なロールを持つこともできます。

許可	`Instance Manager`	`TiDB X Instance Data Access Read-Write`	`TiDB X Instance Data Access Read-Only`	`TiDB X Instance Viewer`
インスタンスの作成、変更、削除などのインスタンス操作を管理します。	✅	❌	❌	❌
SQLエディタを使用してインスタンスデータをビューおよび変更します。	✅	✅	❌	❌
SQLエディタを使用してインスタンスデータをビュー。	✅	✅	✅	❌
インスタンススコープのロールを管理します。	✅	❌	❌	❌
TiDB Xインスタンスのバックアップレコードをビュー。	✅	❌	❌	✅
バックアップからTiDB Xインスタンスを復元します。	✅	❌	❌	❌
インスタンスの概要をビュー。	✅	❌	❌	✅
ネットワーク設定をビュー。	✅	❌	❌	✅
モニターと指標をビュー。	✅	❌	❌	✅
アラートをビュー。	✅	❌	❌	✅

プロジェクト内のすべてのリソースを管理したい場合はプロジェクトロールを使用し、特定のTiDB Xインスタンスのみにアクセス権を付与したい場合はインスタンスロールを使用してください。

組織のアクセスを管理する

組織をビューおよび切り替える

組織を表示したり、組織を切り替えるには、以下の手順に従ってください。

TiDB Cloudコンソールで、左上隅のコンボボックスをクリックします。所属する組織の一覧が表示されます。
ヒント：
- 現在特定のTiDB Cloudリソースのページにいる場合、左上隅のコンボボックスをクリックした後、組織リストに戻るには、コンボボックス内の「マイTiDBに戻る」をクリックする必要があります。
- 複数の組織に所属している場合は、コンボボックス内の対象組織名をクリックすることで、組織間でアカウントを切り替えることができます。
組織IDやタイムゾーンなどの組織の詳細情報を表示するには、組織名をクリックし、左側のナビゲーションペインで「組織設定」 > 「一般」をクリックします。

組織のタイムゾーンを設定してください

Organization Owner役割を担っている場合は、タイムゾーンに合わせてシステム表示時刻を変更できます。

現地のタイムゾーン設定を変更するには、以下の手順に従ってください。

TiDB Cloudコンソールでは、左上隅のコンボボックスを使用して、対象の組織に切り替えてください。
左側のナビゲーションペインで、 [組織設定] > [一般]をクリックします。
「タイムゾーン」セクションで、ドロップダウンリストからお住まいのタイムゾーンを選択してください。
「更新」をクリックしてください。

ユーザーを組織に招待する

Organization Ownerの役割をお持ちの場合は、組織にユーザーを招待できます。

注記：
必要に応じて、プロジェクトにユーザーを招待するまたはユーザーにTiDB Xインスタンスへのアクセス権を付与することもでき、これによりユーザーは組織のメンバーになります。

組織にユーザーを招待するには、以下の手順に従ってください。

TiDB Cloudコンソールでは、左上隅のコンボボックスを使用して、対象の組織に切り替えてください。
左側のナビゲーションペインで、 [組織設定] > [ユーザー]をクリックします。
ユーザーページで、右上隅にある「ユーザーを招待」をクリックします。
招待するユーザーのメールアドレスを入力してください。
ヒント：
一度に複数のメンバーを招待したい場合は、複数のメールアドレスを入力できます。
（オプション）招待されたユーザーには、デフォルトではプロジェクトまたはインスタンスの権限が一切付与されていません。ユーザーにプロジェクトまたはインスタンスのロールを付与するには、以下の手順を実行してください。
- ユーザーにプロジェクトレベルのアクセス権を付与するには、 「役割の追加」をクリックし、「プロジェクトの選択」を選択して、役割を付与し、対象とするプロジェクトを選択します。
- ユーザーに特定の TiDB X インスタンスへのアクセス権を付与するには、 [役割の追加] をクリックし、[インスタンスの選択] を選択して、役割を付与し、ユーザーに割り当てる対象の TiDB X インスタンスを選択します。
「招待」をクリックしてください。すると、新しいユーザーがユーザーリストに正常に追加されます。同時に、招待されたメールアドレスに確認リンク付きのメールが送信されます。
このメールを受け取った後、ユーザーはメール内のリンクをクリックして本人確認を行う必要があり、すると新しいページが表示されます。
招待されたメールアドレスがTiDB Cloudアカウントに登録されていない場合、ユーザーはアカウント作成ページへ誘導されます。メールアドレスが既にTiDB Cloudアカウントに登録されている場合は、ユーザーはサインインページへ誘導され、サインイン後、アカウントは自動的に組織に参加します。

注記：
メールに記載されている確認リンクは24時間で有効期限が切れます。招待したいユーザーがメールを受信していない場合は、 「再送信」をクリックしてください。

組織メンバーを削除する

Organization Ownerの役割を持っている場合、組織から組織メンバーを削除できます。

組織からメンバーを削除するには、以下の手順に従ってください。

注記：
組織からメンバーが削除された場合、そのメンバーはすべてのプロジェクトからも削除され、組織内のすべてのインスタンスへのアクセス権を失います。

TiDB Cloudコンソールでは、左上隅のコンボボックスを使用して、対象の組織に切り替えてください。
左側のナビゲーションペインで、 [組織設定] > [ユーザー]をクリックします。
ユーザーページで、対象メンバーの行を見つけ、その行の「...」をクリックし、次に「削除」をクリックします。
確認ダイアログで、 [削除]をクリックします。

プロジェクトへのアクセスを管理する

このセクションでは、プロジェクトの名前を変更する方法と、プロジェクトメンバーを招待および削除する方法について説明します。プロジェクトを作成または管理する方法については、プロジェクトを管理する参照してください。

プロジェクト名を変更する

Organization Ownerロールに属している場合は、組織内の任意のプロジェクトの名前を変更できます。 Project Ownerロールに属している場合は、プロジェクトの名前を変更できます。

プロジェクト名を変更するには、以下の手順に従ってください。

TiDB Cloudコンソールで、組織の私のTiDBページに移動し、 [プロジェクトビュー]タブをクリックします。
ヒント：
複数の組織に所属している場合は、左上隅のコンボボックスを使用して、まず目的の組織に切り替えてください。
プロジェクトビューで、対象プロジェクトのテーブルを見つけ、テーブルの右上隅にある「...」をクリックし、次に「名前の変更」をクリックします。
新しいプロジェクト名を入力してください。
「確認」をクリックしてください。

プロジェクトメンバーを招待する

Organization OwnerまたはProject Ownerの役割をお持ちの場合は、プロジェクトにメンバーを招待できます。

注記：
組織外のユーザーがプロジェクトに参加すると、そのユーザーは自動的に組織にも参加します。

プロジェクトにメンバーを招待するには、以下の手順に従ってください。

TiDB Cloudコンソールで、組織の私のTiDBページに移動し、次にクリックします。プロジェクトビューに移動するためのアイコン。
ヒント：
複数の組織に所属している場合は、左上隅のコンボボックスを使用して、まず目的の組織に切り替えてください。
プロジェクトビューで、対象プロジェクトのテーブルを見つけ、テーブルの右上隅にある「...」をクリックし、次に「招待」をクリックします。
表示されたダイアログで、招待するユーザーのメールアドレスを入力し、そのユーザーのプロジェクトロールを選択してください。
ヒント：
一度に複数のメンバーを招待したい場合は、複数のメールアドレスを入力できます。
「確認」をクリックしてください。すると、新しいユーザーがユーザーリストに正常に追加されます。同時に、招待されたメールアドレスに確認リンク付きのメールが送信されます。
このメールを受け取った後、ユーザーはメール内のリンクをクリックして本人確認を行う必要があり、すると新しいページが表示されます。
招待されたメールアドレスがTiDB Cloudアカウントに登録されていない場合、ユーザーはアカウント作成ページに移動します。メールアドレスが既にTiDB Cloudアカウントに登録されている場合は、ユーザーはサインインページに移動します。サインイン後、アカウントは自動的にプロジェクトに参加します。

注記：
メールに記載されている確認リンクは24時間後に期限切れとなります。招待されたユーザーがメールを受信していない場合は、 「再送信」をクリックしてください。

ユーザーのプロジェクトアクセス権を削除する

Organization OwnerまたはProject Ownerの役割を担っている場合は、プロジェクトメンバーを削除できます。

プロジェクトからメンバーを削除するには、以下の手順を実行してください。

TiDB Cloudコンソールでは、左上隅のコンボボックスを使用して、対象の組織に切り替えてください。
左側のナビゲーションペインで、 [組織設定] > [ユーザー]をクリックします。
ユーザーページで、対象メンバーの行を見つけ、その行の「...」をクリックし、次に「役割の編集」をクリックします。
役割の編集ダイアログで、対象のプロジェクトを見つけて、アイコン。
「保存」をクリックしてください。

インスタンスへのアクセスを管理する

TiDB Xインスタンスへのアクセス権を付与する {#grant-access-to-a-tidb-x-instance}

Organization OwnerまたはProject Ownerロールに属している場合は、特定の TiDB X インスタンスのインスタンスロールをユーザーに付与できます。

注記：
インスタンスへのアクセスは、TiDB Xインスタンスにのみ適用されます。

TiDB Xインスタンスへのアクセス権を付与するには、以下の手順を実行してください。

TiDB Cloudコンソールでは、左上隅のコンボボックスを使用して、対象の組織に切り替えてください。
左側のナビゲーションペインで、 [組織設定] > [ユーザー]をクリックします。
ユーザーページで、対象メンバーの行を見つけ、その行の「...」をクリックし、次に「役割の編集」をクリックします。
ヒント：
ユーザーがまだ組織に所属していない場合は、右上隅にある[ユーザーを招待]をクリックし、ユーザーを組織に招待する招待する」の手順に従って、ユーザーにインスタンスロールを付与します。
「ロールの編集」ページで、 「インスタンスアクセス」セクションの「ロールの追加とインスタンスの選択」をクリックし、ユーザーにロールを付与して、対象のTiDB Xインスタンスを選択します。
「保存」をクリックしてください。

ユーザーのインスタンスアクセス権を削除します

Organization OwnerまたはProject Owner役割を担っている場合は、ユーザーのインスタンスアクセス権を削除できます。

ユーザーのインスタンスアクセス権を削除するには、以下の手順を実行してください。

TiDB Cloudコンソールでは、左上隅のコンボボックスを使用して、対象の組織に切り替えてください。
左側のナビゲーションペインで、 [組織設定] > [ユーザー]をクリックします。
ユーザーページで、対象メンバーの行を見つけ、その行の「...」をクリックし、次に「役割の編集」をクリックします。
ロール編集ダイアログで、対象のインスタンスを見つけて、アイコン。
「保存」をクリックしてください。

ユーザーの役割を変更する

TiDB Cloudでユーザーの役割を変更するには、以下の手順を実行してください。

TiDB Cloudコンソールでは、左上隅のコンボボックスを使用して、対象の組織に切り替えてください。
左側のナビゲーションペインで、 [組織設定] > [ユーザー]をクリックします。
ユーザーページで、対象ユーザーの行を見つけ、その行の「...」をクリックし、次に「役割の編集」をクリックします。
- Organization Ownerロールに属している場合は、対象ユーザーの組織ロール、プロジェクトロール、およびインスタンスロールを変更できます。
- Project Ownerロールに属している場合は、対象ユーザーのプロジェクトロールとインスタンスロールを変更できます。
「保存」をクリックしてください。

ユーザープロファイルの管理

TiDB Cloudでは、氏名（姓、名）、電話番号など、プロフィール情報を簡単に管理できます。

TiDB Cloudコンソールで、左下隅にあるをクリックします。
アカウント設定をクリックしてください。
表示されたダイアログで、プロファイル情報を更新し、 「更新」をクリックします。