📣

TiDB Cloud Serverless が
Starter
に変わりました!このページは自動翻訳されたものです。
原文はこちらからご覧ください。

SQL プロキシアカウント

SQLプロキシアカウントは、 TiDB Cloudによって自動的に作成されるSQLユーザーアカウントで、 TiDB Cloudユーザーに代わってSQLエディターまたはデータサービス介してデータベースにアクセスするために作成されます。たとえば、 testuser@pingcap.com TiDB Cloudユーザーアカウントで、 3jhEcSimm7keKP8.testuser._41mqK6H4それに対応するSQLプロキシアカウントです。

SQLプロキシアカウントは、 TiDB Cloud内のデータベースにアクセスするための安全なトークンベースの認証メカニズムを提供します。従来のユーザー名とパスワードによる認証が不要になるため、SQLプロキシアカウントはセキュリティを強化し、アクセス管理を簡素化します。

SQL プロキシ アカウントの主な利点は次のとおりです。

  • 強化されたセキュリティ: JWT トークンを使用することで、静的資格情報に関連するリスクを軽減します。
  • 合理化されたアクセス: SQL エディターとデータ サービスへのアクセスを具体的に制限し、正確な制御を保証します。
  • 管理の容易さ: TiDB Cloudを使用する開発者と管理者の認証を簡素化します。

SQLプロキシアカウントを特定する

特定の SQL アカウントが SQL プロキシ アカウントであるかどうかを識別する場合は、次の手順を実行します。

  1. mysql.userテーブルを調べます。

    USE mysql; SELECT user FROM user WHERE plugin = 'tidb_auth_token';
  2. SQLアカウントの権限を確認してください。1、3、5 role_adminのロールrole_readonlyリストさrole_readwriteている場合は、SQLプロキシアカウントです。

    SHOW GRANTS for 'username';

SQLプロキシアカウントの作成方法

SQL プロキシ アカウントは、クラスター内で権限を持つロールが付与されたTiDB Cloud TiDB Cloud Cloud クラスターの初期化中に自動的に作成されます。

SQLプロキシアカウントを削除する方法

ユーザーが組織またはプロジェクトから削除されるか、そのロールがクラスターにアクセスできないロールに変更されると、SQL プロキシ アカウントは自動的に削除されます。

SQL プロキシ アカウントを手動で削除した場合、ユーザーが次回TiDB Cloudコンソールにログインしたときに自動的に再作成されることに注意してください。

SQLプロキシアカウントのユーザー名

SQLプロキシアカウントのユーザー名は、 TiDB Cloudのユーザー名と完全に一致する場合もありますが、完全に一致しない場合もあります。SQLプロキシアカウントのユーザー名は、 TiDB Cloudユーザーのメールアドレスの長さによって決まります。ルールは以下のとおりです。

環境メールの長さユーザー名の形式
TiDB Cloud専用32文字以下完全なメールアドレス
TiDB Cloud専用32文字prefix($email, 23)_prefix(base58(sha1($email)), 8)
TiDB Cloudサーバーレス15文字以下serverless_unique_prefix + "." + email
TiDB Cloudサーバーレス15文字serverless_unique_prefix + "." + prefix($email, 6)_prefix(base58(sha1($email)), 8)

例:

環境電子メールアドレスSQLプロキシアカウントのユーザー名
TiDB Cloud専用user@pingcap.comuser@pingcap.com
TiDB Cloud専用longemailaddressexample@pingcap.comlongemailaddressexample_48k1jwL9
TiDB Cloudサーバーレスu1@pingcap.com{user_name_prefix}.u1@pingcap.com
TiDB Cloudサーバーレスlongemailaddressexample@pingcap.com{user_name_prefix}.longem_48k1jwL9

注記:

上記の表の{user_name_prefix}は、 TiDB Cloud Serverless クラスターを区別するためにTiDB Cloudによって生成される一意のプレフィックスです。詳細については、 TiDB Cloud Serverless クラスターの「 ユーザー名のプレフィックス参照してください。

SQLプロキシアカウントのパスワード

SQL プロキシアカウントは JWT トークンベースであるため、これらのアカウントのパスワードを管理する必要はありません。セキュリティトークンはシステムによって自動的に管理されます。

SQL プロキシ アカウント ロール

SQL プロキシ アカウントのロールは、 TiDB CloudユーザーのIAMロールによって異なります。

  • 組織レベル:

    • 組織の所有者: role_admin
    • 組織の請求管理者: 代理アカウントなし
    • 組織閲覧者: プロキシアカウントなし
    • 組織コンソール監査マネージャ: プロキシアカウントなし
  • プロジェクトレベル:

    • プロジェクトオーナー: role_admin
    • プロジェクトデータアクセスの読み取り/書き込み: role_readwrite
    • プロジェクトデータアクセス読み取り専用: role_readonly

SQL プロキシ アカウント アクセス制御

SQLプロキシアカウントはJWTトークンベースであり、データサービスとSQLエディタからのみアクセスできます。ユーザー名とパスワードを使用してSQLプロキシアカウントを使用してTiDB Cloudクラスターにアクセスすることはできません。

このページは役に立ちましたか?