关于 TiDB
快速上手
- 快速上手指南
- SQL 基本操作
部署标准集群
- 软硬件环境需求
- 环境与系统配置检查
- 规划集群拓扑
- 安装与启动
  - 使用 TiUP 部署（推荐）
  - 在 Kubernetes 上部署
- 验证集群状态
- 测试集群性能
  - 用 Sysbench 测试 TiDB
  - 对 TiDB 进行 TPC-C 测试
数据迁移
- 概述
- 从 MySQL 迁移至 TiDB
- 从 CSV 文件迁移至 TiDB
  - 使用 TiDB Lightning 导入 CSV 文件
  - 使用 LOAD DATA 语句导入 CSV 文件
- 从 SQL 文件迁移到 TiDB
运维操作
- 升级 TiDB 版本
  - 使用 TiUP 升级（推荐）
  - 使用 TiDB Operator
- 扩缩容
  - 使用 TiUP（推荐）
  - 使用 TiDB Operator
- 备份与恢复
  - 使用 BR 工具（推荐）
- 读取历史数据
- 修改时区
- 日常巡检
- TiFlash 常用运维操作
- 使用 TiUP 运维集群
- 在线修改集群配置
监控与告警
故障诊断
性能调优
- 系统调优
  - 操作系统性能参数调优
- 软件调优
  - 配置
  - 下推计算结果缓存
- SQL 性能调优
  - SQL 性能调优概览
  - 理解 TiDB 执行计划
    - TiDB 执行计划概览
    - MPP 模式查询的执行计划
  - SQL 优化流程
    - SQL 优化流程概览
    - 逻辑优化
    - 物理优化
    - 执行计划缓存
  - 控制执行计划
教程
TiDB 生态工具
- 功能概览
- 适用场景
- 工具下载
- Backup & Restore (BR)
- TiDB Binlog
  - 概述
  - 快速上手
  - 部署使用
  - 运维管理
  - 配置说明
    - Pump
    - Drainer
  - 版本升级
  - 监控告警
  - 增量恢复
  - binlogctl 工具
  - Kafka 自定义开发
  - TiDB Binlog Relay Log
  - 集群间双向同步
  - 术语表
  - 故障诊断
    - 故障诊断
    - 常见错误修复
  - FAQ
- TiDB Lightning
  - 概述
  - 快速上手教程
  - 部署执行
  - 参数说明
  - 主要功能
  - 监控告警
  - FAQ
  - 术语表
- TiCDC
- Dumpling
- sync-diff-inspector
- TiSpark
  - TiSpark 快速上手
  - TiSpark 用户指南
参考指南
- 架构
  - 概述
  - 存储
  - 计算
  - 调度
- 监控指标
- 安全加固
- 权限
- SQL
- UI
  - TiDB Dashboard
    - 简介
    - 运维
    - 访问
    - 概况页面
    - 集群信息页面
    - 流量可视化页面
    - 监控关系图
    - SQL 语句分析
      - 列表页面
      - 执行详情页面
    - 慢查询页面
    - 集群诊断页面
    - 日志搜索页面
    - 实例性能分析页面
    - 常见问题
- CLI
  - tikv-ctl
  - pd-ctl
  - tidb-ctl
  - pd-recover
  - binlog-ctl
- 命令行参数
- 配置文件参数
- 系统变量
- 存储引擎
  - TiKV
  - TiFlash
    - TiFlash 简介
    - 使用 TiFlash
- TiUP
- 遥测
- 错误码
- 通过拓扑 label 进行副本调度
常见问题解答 (FAQ)
术语表
版本发布历史
- 发布版本汇总
- 产品路线图
- v5.0
  - 5.0.2
  - 5.0.1
  - 5.0 GA
  - 5.0.0-rc
- v4.0
  - 4.0.13
  - 4.0.12
  - 4.0.11
  - 4.0.10
  - 4.0.9
  - 4.0.8
  - 4.0.7
  - 4.0.6
  - 4.0.5
  - 4.0.4
  - 4.0.3
  - 4.0.2
  - 4.0.1
  - 4.0 GA
  - 4.0.0-rc.2
  - 4.0.0-rc.1
  - 4.0.0-rc
  - 4.0.0-beta.2
  - 4.0.0-beta.1
  - 4.0.0-beta
- v3.1
  - 3.1.2
  - 3.1.1
  - 3.1.0 GA
  - 3.1.0-rc
  - 3.1.0-beta.2
  - 3.1.0-beta.1
  - 3.1.0-beta
- v3.0
  - 3.0.20
  - 3.0.19
  - 3.0.18
  - 3.0.17
  - 3.0.16
  - 3.0.15
  - 3.0.14
  - 3.0.13
  - 3.0.12
  - 3.0.11
  - 3.0.10
  - 3.0.9
  - 3.0.8
  - 3.0.7
  - 3.0.6
  - 3.0.5
  - 3.0.4
  - 3.0.3
  - 3.0.2
  - 3.0.1
  - 3.0 GA
  - 3.0.0-rc.3
  - 3.0.0-rc.2
  - 3.0.0-rc.1
  - 3.0.0-beta.1
  - 3.0.0-beta
- v2.1
  - 2.1.19
  - 2.1.18
  - 2.1.17
  - 2.1.16
  - 2.1.15
  - 2.1.14
  - 2.1.13
  - 2.1.12
  - 2.1.11
  - 2.1.10
  - 2.1.9
  - 2.1.8
  - 2.1.7
  - 2.1.6
  - 2.1.5
  - 2.1.4
  - 2.1.3
  - 2.1.2
  - 2.1.1
  - 2.1 GA
  - 2.1 RC5
  - 2.1 RC4
  - 2.1 RC3
  - 2.1 RC2
  - 2.1 RC1
  - 2.1 Beta
- v2.0
  - 2.0.11
  - 2.0.10
  - 2.0.9
  - 2.0.8
  - 2.0.7
  - 2.0.6
  - 2.0.5
  - 2.0.4
  - 2.0.3
  - 2.0.2
  - 2.0.1
  - 2.0
  - 2.0 RC5
  - 2.0 RC4
  - 2.0 RC3
  - 2.0 RC1
  - 1.1 Beta
  - 1.1 Alpha
- v1.0
  - 1.0
  - Pre-GA
  - RC4
  - RC3
  - RC2
  - RC1

基于角色的访问控制

TiDB 的基于角色的访问控制 (RBAC) 系统的实现类似于 MySQL 8.0 的 RBAC 系统。TiDB 兼容大部分 MySQL RBAC 系统的语法。

本文档主要介绍 TiDB 基于角色的访问控制相关操作及实现。

角色访问控制相关操作

角色是一系列权限的集合。用户可以创建角色、删除角色、将权限赋予角色；也可以将角色授予给其他用户，被授予的用户在启用角色后，可以得到角色所包含的权限。

创建角色

创建角色 app_developer，app_read 和 app_write：

CREATE ROLE 'app_developer', 'app_read', 'app_write';

角色名的格式和规范可以参考 TiDB 用户账户管理。

角色会被保存在 mysql.user 表中，角色名称的主机名部分（如果省略）默认为 '%'。如果表中有同名角色或用户，角色会创建失败并报错。创建角色的用户需要拥有 CREATE ROLE 或 CREATE USER 权限。

授予角色权限

为角色授予权限和为用户授予权限操作相同，可参考 TiDB 权限管理。

为 app_read 角色授予数据库 app_db 的读权限：

GRANT SELECT ON app_db.* TO 'app_read'@'%';

为 app_write 角色授予数据库 app_db 的写权限：

GRANT INSERT, UPDATE, DELETE ON app_db.* TO 'app_write'@'%';

为 app_developer 角色授予 app_db 数据库的全部权限：

GRANT ALL ON app_db.* TO 'app_developer';

将角色授予给用户

假设有一个用户拥有开发者角色，可以对 app_db 的所有操作权限；另外有两个用户拥有 app_db 的只读权限；还有一个用户拥有 app_db 的读写权限。

首先用 CREATE USER 来创建用户。

CREATE USER 'dev1'@'localhost' IDENTIFIED BY 'dev1pass';
CREATE USER 'read_user1'@'localhost' IDENTIFIED BY 'read_user1pass';
CREATE USER 'read_user2'@'localhost' IDENTIFIED BY 'read_user2pass';
CREATE USER 'rw_user1'@'localhost' IDENTIFIED BY 'rw_user1pass';

然后使用 GRANT 授予用户对应的角色。

GRANT 'app_developer' TO 'dev1'@'localhost';
GRANT 'app_read' TO 'read_user1'@'localhost', 'read_user2'@'localhost';
GRANT 'app_read', 'app_write' TO 'rw_user1'@'localhost';

用户执行将角色授予给其他用户或者收回角色的命令，需要用户拥有 SUPER 权限。将角色授予给用户时并不会启用该角色，启用角色需要额外的操作。

以下操作可能会形成一个“关系环”：

CREATE USER 'u1', 'u2';
CREATE ROLE 'r1', 'r2';

GRANT 'u1' TO 'u1';
GRANT 'r1' TO 'r1';

GRANT 'r2' TO 'u2';
GRANT 'u2' TO 'r2';

TiDB 允许这种多层授权关系存在，可以使用多层授权关系实现权限继承。

查看角色拥有的权限

可以通过 SHOW GRANTS 语句查看用户被授予了哪些角色。当用户查看其他用户权限相关信息时，需要对 mysql 数据库拥有 SELECT 权限。

SHOW GRANTS FOR 'dev1'@'localhost';

+-------------------------------------------------+
| Grants for dev1@localhost                       |
+-------------------------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`localhost`        |
| GRANT `app_developer`@`%` TO `dev1`@`localhost` |
+-------------------------------------------------+

可以通过使用 SHOW GRANTS 的 USING 选项来查看角色对应的权限。

SHOW GRANTS FOR 'dev1'@'localhost' USING 'app_developer';

+----------------------------------------------------------+
| Grants for dev1@localhost                                |
+----------------------------------------------------------+
| GRANT USAGE ON *.* TO `dev1`@`localhost`                 |
| GRANT ALL PRIVILEGES ON `app_db`.* TO `dev1`@`localhost` |
| GRANT `app_developer`@`%` TO `dev1`@`localhost`          |
+----------------------------------------------------------+

SHOW GRANTS FOR 'rw_user1'@'localhost' USING 'app_read', 'app_write';

+------------------------------------------------------------------------------+
| Grants for rw_user1@localhost                                                |
+------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO `rw_user1`@`localhost`                                 |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `app_db`.* TO `rw_user1`@`localhost` |
| GRANT `app_read`@`%`,`app_write`@`%` TO `rw_user1`@`localhost`               |
+------------------------------------------------------------------------------+

SHOW GRANTS FOR 'read_user1'@'localhost' USING 'app_read';

+--------------------------------------------------------+
| Grants for read_user1@localhost                        |
+--------------------------------------------------------+
| GRANT USAGE ON *.* TO `read_user1`@`localhost`         |
| GRANT SELECT ON `app_db`.* TO `read_user1`@`localhost` |
| GRANT `app_read`@`%` TO `read_user1`@`localhost`       |
+--------------------------------------------------------+

可以使用 SHOW GRANTS 或 SHOW GRANTS FOR CURRENT_USER() 查看当前用户的权限。这两个语句有细微的差异，SHOW GRANTS 会显示当前用户的启用角色的权限，而 SHOW GRANTS FOR CURRENT_USER() 则不会显示启用角色的权限。

设置默认启用角色

角色在授予给用户之后，并不会生效；只有在用户启用了某些角色之后，才可以使用角色拥有的权限。

可以对用户设置默认启用的角色；用户在登陆时，默认启用的角色会被自动启用。

SET DEFAULT ROLE
    {NONE | ALL | role [, role ] ...}
    TO user [, user ]

比如将 app_read 和 app_wirte 设置为 rw_user1@localhost 的默认启用角色：

SET DEFAULT ROLE app_read, app_write TO 'rw_user1'@'localhost';

将 dev1@localhost 的所有角色，设为其默认启用角色：

SET DEFAULT ROLE ALL TO 'dev1'@'localhost';

关闭 dev1@localhost 的所有默认启用角色：

SET DEFAULT ROLE NONE TO 'dev1'@'localhost';

需要注意的是，设置为默认启用角色的角色必须已经授予给那个用户。

在当前 session 启用角色

除了使用 SET DEFAULT ROLE 启用角色外，TiDB 还提供让用户在当前 session 启用某些角色的功能。

SET ROLE {
    DEFAULT
  | NONE
  | ALL
  | ALL EXCEPT role [, role ] ...
  | role [, role ] ...
}

例如，登陆 rw_user1 后，为当前用户启用角色 app_read 和 app_write ，仅在当前 session 有效：

SET ROLE 'app_read', 'app_write';

启用当前用户的默认角色：

SET ROLE DEFAULT

启用授予给当前用户的所有角色：

SET ROLE ALL

不启用任何角色：

SET ROLE NONE

启用除 app_read 外的角色：

SET ROLE ALL EXCEPT 'app_read'

注意：
使用 SET ROLE 启用的角色只有在当前 session 才会有效。

查看当前启用角色

当前用户可以通过 CURRENT_ROLE() 函数查看当前用户启用了哪些角色。

例如，先对 rw_user1'@'localhost 设置默认角色：

SET DEFAULT ROLE ALL TO 'rw_user1'@'localhost';

用 rw_user1@localhost 登陆后：

SELECT CURRENT_ROLE();

+--------------------------------+
| CURRENT_ROLE()                 |
+--------------------------------+
| `app_read`@`%`,`app_write`@`%` |
+--------------------------------+

SET ROLE 'app_read'; SELECT CURRENT_ROLE();

+----------------+
| CURRENT_ROLE() |
+----------------+
| `app_read`@`%` |
+----------------+

收回角色

解除角色 app_read 与用户 read_user1@localhost、read_user2@localhost 的授权关系。

REVOKE 'app_read' FROM 'read_user1'@'localhost', 'read_user2'@'localhost';

解除角色 app_read、app_write 与用户 rw_user1@localhost 的授权关系。

REVOKE 'app_read', 'app_write' FROM 'rw_user1'@'localhost';

解除角色授权具有原子性，如果在撤销授权操作中失败会回滚。

收回权限

REVOKE 语句与 GRANT 对应，可以使用 REVOKE 来撤销 app_write 的权限。

REVOKE INSERT, UPDATE, DELETE ON app_db.* FROM 'app_write';

具体可参考 TiDB 权限管理。

删除角色

删除角色 app_read 和 app_write：

DROP ROLE 'app_read', 'app_write';

这个操作会清除角色在 mysql.user 表里面的记录项，并且清除在授权表里面的相关记录，解除和其相关的授权关系。执行删除角色的用户需要拥有 DROP ROLE 或 DROP USER 权限。

授权表

在原有的四张系统权限表的基础上，角色访问控制引入了两张新的系统表：

mysql.role_edges：记录角色与用户的授权关系
mysql.default_roles：记录每个用户默认启用的角色

以下是 mysql.role_edges 所包含的数据。

select * from mysql.role_edges;

+-----------+-----------+---------+---------+-------------------+
| FROM_HOST | FROM_USER | TO_HOST | TO_USER | WITH_ADMIN_OPTION |
+-----------+-----------+---------+---------+-------------------+
| %         | r_1       | %       | u_1     | N                 |
+-----------+-----------+---------+---------+-------------------+
1 row in set (0.00 sec)

其中 FROM_HOST 和 FROM_USER 分别表示角色的主机名和用户名，TO_HOST 和 TO_USER 分别表示被授予角色的用户的主机名和用户名。

mysql.default_roles 中包含了每个用户默认启用了哪些角色。

select * from mysql.default_roles;

+------+------+-------------------+-------------------+
| HOST | USER | DEFAULT_ROLE_HOST | DEFAULT_ROLE_USER |
+------+------+-------------------+-------------------+
| %    | u_1  | %                 | r_1               |
| %    | u_1  | %                 | r_2               |
+------+------+-------------------+-------------------+
2 rows in set (0.00 sec)

HOST 和 USER 分别表示用户的主机名和用户名，DEFAULT_ROLE_HOST 和 DEFAULT_ROLE_USER 分别表示默认启用的角色的主机名和用户名。

其他

由于基于角色的访问控制模块和用户管理以及权限管理结合十分紧密，因此需要参考一些操作的细节：

下载 PDF

修改本文

反馈文档问题

本页导航

基于角色的访问控制
- 角色访问控制相关操作