Security

q

TiDB Cloud は、データを保護し、アクセス制御を実施し、最新のコンプライアンス標準を満たすように設計された、堅牢で柔軟なセキュリティ フレームワークを提供します。このフレームワークは、高度なセキュリティ機能と運用効率を組み合わせて、大規模な組織のニーズをサポートします。

主要コンポーネント

  • アイデンティティおよびアクセス管理 (IAM ) : TiDB Cloudコンソールとデータベース環境の両方に対するセキュリティで柔軟な認証および権限管理。

  • ネットワーク アクセス制御: プライベート エンドポイント、VPC ピアリング、TLS 暗号化、IP アクセス リストなどの構成可能な接続オプション。

  • データ アクセス制御: 保存データを保護するための顧客管理暗号化キー (CMEK) などの高度な暗号化機能。

  • 監査ログ: コンソールアクションとデータベース操作の両方の包括的なアクティビティ追跡により、説明責任と透明性が確保されます。

これらの機能を統合することで、 TiDB Cloud は組織が機密データを保護し、アクセス制御を合理化し、セキュリティ操作を最適化できるようにします。

アイデンティティとアクセス管理 (IAM)

TiDB Cloud は、アイデンティティおよびアクセス管理 (IAM) を採用し、コンソールとデータベース環境の両方でユーザー ID と権限を安全かつ効率的に管理します。IAM 機能は、認証オプション、ロールベースのアクセス制御、階層型リソース構造の組み合わせを通じて、組織のセキュリティとコンプライアンスのニーズを満たすように設計されています。

TiDB Cloudユーザーアカウント

TiDB Cloudユーザー アカウントは、ID とリソースへのアクセスを管理するための基盤です。各アカウントはプラットフォーム内の個人またはエンティティを表し、組織のニーズに合わせて複数の認証方法をサポートします。

  • デフォルトのユーザー名とパスワード

    • ユーザーは電子メール アドレスとパスワードを使用してアカウントを作成します。

    • 外部 ID プロバイダーを持たない小規模なチームまたは個人に適しています。

  • 標準SSO認証

    • ユーザーは GitHub、Google、または Microsoft アカウントを使用してログインします。

    • すべての組織に対してデフォルトで有効になっています。

    • ベスト プラクティス: 小規模なチームや厳格なコンプライアンスが不要なチームに使用します。

    • 詳細については標準SSO認証参照してください。

  • 組織のSSO認証

    • OIDC または SAML プロトコルを使用して企業 ID プロバイダー (IdP) と統合します。

    • MFA の強制、パスワードの有効期限ポリシー、ドメイン制限などの機能を有効にします。

    • ベスト プラクティス: 高度なセキュリティとコンプライアンスの要件を持つ大規模な組織に最適です。

    • 詳細については組織のSSO認証参照してください。

データベースアクセス制御

TiDB Cloud は、ユーザーベースおよびロールベースの権限を通じてきめ細かなデータベース アクセス制御を提供します。これらのメカニズムにより、管理者は組織のセキュリティ ポリシーへの準拠を確保しながら、データ オブジェクトとスキーマへのアクセスを安全に管理できます。

  • ベストプラクティス:

    • ユーザーの役割に必要な権限のみを付与することで、最小権限の原則を実装します。

    • 変化する組織の要件に合わせて、ユーザー アクセスを定期的に監査および更新します。

データベースユーザーアカウント

データベース ユーザー アカウントはmysql.userシステム テーブルに保存され、ユーザー名とクライアント ホストによって一意に識別されます。

データベースの初期化中に、TiDB は自動的にデフォルトのアカウントを作成します: 'root'@'%'

詳細についてはTiDB ユーザーアカウント管理参照してください。

SQL プロキシ アカウント

SQL プロキシ アカウントは、 TiDB Cloudによって自動的に生成される特別な目的のアカウントです。これらのアカウントの主な特徴は次のとおりです。

  • TiDB Cloudユーザー アカウントにリンク:各 SQL Proxy アカウントは特定のTiDB Cloudユーザーに対応します。

  • ロールにマップされています: SQL プロキシ アカウントにはrole_adminロールが付与されます。

  • トークンベース: SQL プロキシ アカウントは、パスワードの代わりに安全な JWT トークンを使用し、 TiDB Cloudデータ サービスまたは SQL エディターを介したシームレスで制限されたアクセスを保証します。

TiDB の権限とロール

TiDB の権限管理システムはMySQL 5.7をベースとしており、データベース オブジェクトへのきめ細かなアクセスを可能にします。同時に、TiDB は MySQL 8.0 の RBAC と動的権限メカニズムも導入しています。これにより、データベース権限のきめ細かな便利な管理が可能になります。

静的権限

  • テーブル、ビュー、インデックス、ユーザー、その他のオブジェクトを含むデータベース オブジェクトに基づくきめ細かいアクセス制御をサポートします。

  • 例: 特定のテーブルに対する SELECT権限をユーザーに付与します。

動的権限

  • データベース管理権限の合理的な分割をサポートし、システム管理権限のきめ細かな制御を実現します。

  • 例: より広範な管理権限を持たないデータベースのバックアップを管理するアカウントにBACKUP_ADMIN割り当てます。

SQL ロール (RBAC)

  • 権限をユーザーに割り当てることができるロールにグループ化することで、権限管理と動的な更新を効率化できます。

  • 例: アナリストに読み取り/書き込みロールを割り当てて、ユーザー アクセス制御を簡素化します。

このシステムは、組織のポリシーに準拠しながら、ユーザー アクセスを柔軟かつ正確に管理することを保証します。

組織とプロジェクト

TiDB Cloud は、組織、プロジェクト、クラスターという階層構造でユーザーとリソースを管理します。

組織

  • リソース、ロール、課金を管理するための最上位エンティティ。

  • 組織の所有者には、プロジェクトの作成やロールの割り当てを含む完全な権限が与えられます。

プロジェクト

  • クラスターとプロジェクト固有の構成を含む組織の下位区分。

  • 範囲内のクラスターを担当するプロジェクト所有者によって管理されます。

クラスター

  • プロジェクト内の個々のデータベース インスタンス。

構造例

- Your organization - Project 1 - Cluster 1 - Cluster 2 - Project 2 - Cluster 3 - Cluster 4 - Project 3 - Cluster 5 - Cluster 6

主な特徴

  • 詳細な権限:

    • 正確なアクセス制御のために、組織レベルとプロジェクトレベルの両方で特定のロールを割り当てます。

    • 役割の割り当てを慎重に計画することで、柔軟性とセキュリティを確保します。

  • 請求管理:

    • 請求は組織レベルで統合され、プロジェクトごとに詳細な内訳が提供されます。

アイデンティティとアクセス管理 (IAM) ロール

TiDB Cloud は、組織やプロジェクト全体の権限を管理するためのロールベースのアクセス制御を提供します。

ネットワークアクセス制御

TiDB Cloud は、堅牢なネットワーク アクセス制御を通じて、安全なクラスター接続とデータ転送を保証します。主な機能は次のとおりです。

プライベートエンドポイント

ベスト プラクティス:公開される可能性を最小限に抑え、構成を定期的に確認するために、本番ではプライベート エンドポイントを使用します。

TLS (トランスポート層Security)

  • クライアントとサーバー間の通信を暗号化して、データ転送を保護します。

  • サーバーレスクラスターとひたむきなクラスターの両方でセットアップ ガイドが利用可能です。

ベスト プラクティス: TLS 証明書が最新であることを確認し、定期的にローテーションします。

VPC ピアリング

ベスト プラクティス:重要なワークロードに使用して、パブリック インターネットへの露出を回避し、パフォーマンスを監視します。

IPアクセスリスト

  • 信頼できる IP アドレスへのクラスター アクセスを制限するファイアウォールとして機能します。

  • 詳細についてはIPアクセスリストを構成する参照してください。

ベスト プラクティス:セキュリティを維持するために、アクセス リストを定期的に監査して更新します。

データアクセス制御

TiDB Cloud は、高度な暗号化機能を使用して静的データを保護し、セキュリティと業界規制への準拠を保証します。

顧客管理暗号化キー (CMEK)

  • 組織はTiDB Cloud Dedicated クラスターの暗号化を完全に制御できます。

  • 有効にすると、静的データとバックアップが CMEK キーで暗号化されます。

  • CMEK のないTiDB Cloud Dedicated クラスターの場合、 TiDB Cloud はエスクロー キーを使用します。TiDB TiDB Cloud Serverless クラスターはエスクロー キーのみに依存します。

ベストプラクティス:

  • セキュリティを強化し、コンプライアンス標準を満たすために、CMEK キーを定期的にローテーションします。

  • 保護を強化するために、CMEK キーを使用してバックアップを一貫して暗号化します。

  • HIPAA や GDPR などの厳格なコンプライアンスを必要とする業界では CMEK を活用します。

詳細については顧客管理の暗号化キーを使用した保存時の暗号化参照してください。

監査ログ

TiDB Cloud は、ユーザー アクティビティとデータベース操作を監視するための包括的な監査ログを提供し、セキュリティ、説明責任、コンプライアンスを確保します。

コンソール監査ログ

ユーザーの招待やクラスターの管理など、 TiDB Cloudコンソールでの主要なアクションを追跡します。

ベストプラクティス:

  • ログを SIEM ツールと統合して、リアルタイムの監視とアラートを実現します。

  • コンプライアンス要件を満たすために保持ポリシーを設定します。

データベース監査ログ

実行された SQL ステートメントやユーザー アクセスなど、詳細なデータベース操作を記録します。

ベストプラクティス:

  • 異常なアクティビティや不正アクセスがないか定期的にログを確認してください。

  • コンプライアンス レポートとフォレンジック分析にログを使用します。

詳細についてはコンソール監査ログおよびデータベース監査ログ参照してください。

Security最終更新日 1/10/2025, 7:31:22 AM: cloud: optimize TOC and add concept docs (#19717)

このページは役に立ちましたか?