📣
TiDB Cloud Premium 开放公测中。为企业级工作负载提供无限扩展、即时弹性伸缩和高级安全保障。此页面由 AI 自动翻译,英文原文请见此处。
AI
应用开发
最佳实践
API

身份访问管理

本文档介绍如何在 TiDB Cloud 中管理对组织、项目、资源、角色和用户资料的访问。

在访问 TiDB Cloud 之前,请先创建一个 TiDB Cloud 账户。你可以使用邮箱和密码注册,这样可以通过 TiDB Cloud 管理你的密码,也可以选择使用 Google、GitHub 或 Microsoft 账户通过单点登录(SSO)访问 TiDB Cloud。

组织、项目和资源

TiDB Cloud 使用基于组织、项目和资源的分层结构来帮助你管理用户和 TiDB 部署。

  • TiDB Cloud 中的资源可以是 TiDB X 实例或 TiDB Cloud Dedicated 集群。TiDB X 实例是基于 TiDB X 架构构建的面向服务的 TiDB Cloud 产品,例如 TiDB Cloud Starter、Essential 或 Premium 实例。

  • 项目是 TiDB Cloud 资源的容器。

    • 对于 TiDB X 实例,项目是一个可选的逻辑容器,这意味着你可以将这些实例分组到一个项目中,也可以将这些实例保留在组织级别。
    • 对于 TiDB Cloud Dedicated 集群,项目是基础设施绑定的且必需的,这意味着 TiDB Cloud Dedicated 集群必须分组到项目中进行管理。

  • 组织是一个顶级实体(例如公司或客户),用于管理你的 TiDB Cloud 账户(包括一个管理账户和任意数量的成员账户)、项目和资源。

如果你是组织所有者,可以在你的组织下创建多个项目。

  • 对于 TiDB X 实例,你可以将它们分组到项目中,也可以将它们直接保留在组织级别。
  • 对于 TiDB Cloud Dedicated 集群,你必须将它们分组到项目中。

以下是分层结构的一个示例:

- Your organization
    - TiDB X instances out of any project
        - TiDB Cloud Starter instance 1
        - TiDB Cloud Essential instance 1
    - TiDB X project 1
        - TiDB Cloud Starter instance 2
        - TiDB Cloud Starter instance 3
        - TiDB Cloud Essential instance 2
        - TiDB Cloud Premium instance 1
    - TiDB Dedicated project 1
        - TiDB Cloud Dedicated cluster 1
        - TiDB Cloud Dedicated cluster 2

在该结构下:

  • 要访问一个组织,用户必须是该组织的成员。
  • 要访问组织中的某个项目,用户至少需要拥有该组织下该项目的读访问权限。
  • 要访问特定的 TiDB X 实例,用户可以通过项目角色或实例角色被授予访问权限。
  • 要访问 TiDB Cloud Dedicated 集群,用户必须拥有该集群所在项目的读访问权限。

关于用户角色和权限的更多信息,请参见 用户角色

组织

一个组织可以包含多个项目和未分组到任何项目中的 TiDB X 实例。

TiDB Cloud 在组织级别进行计费,并为每个项目和资源提供详细的账单信息。

如果你是组织所有者,你在组织中拥有最高权限。

例如,你可以执行以下操作:

  • 为不同目的(如开发、预发布、生产)创建不同的项目。
  • 为不同用户分配不同的组织角色、项目角色和实例角色。
  • 配置组织设置。例如,为你的组织配置时区。

项目

项目对 TiDB Cloud 资源进行分组和管理。

在 TiDB Cloud 中,有三种类型的项目:

  • TiDB Dedicated 项目:此项目类型仅用于 TiDB Cloud Dedicated 集群。它帮助你按项目单独管理 TiDB Cloud Dedicated 集群的设置,例如 RBAC、网络、维护、告警订阅和加密访问。
  • TiDB X 项目:此项目类型仅用于 TiDB X 实例(包括 TiDB Cloud Starter、Essential 和 Premium 实例)。它帮助你按项目管理 TiDB X 实例的 RBAC。在 My TiDB 页面上创建项目时,TiDB X 项目是默认的项目类型。
  • TiDB X 虚拟项目:此项目是虚拟的,不提供任何管理功能。它充当不属于任何项目的 TiDB X 实例的虚拟容器,以便这些实例可以通过 TiDB Cloud API 使用项目 ID 进行访问。每个组织都有一个唯一的虚拟项目 ID。你可以从 TiDB Cloud API 的 List all accessible projects 端点获取此 ID。

下表列出了这些项目类型之间的差异:

特性TiDB Dedicated 项目TiDB X 项目TiDB X 虚拟项目
My TiDB 页面项目视图中的项目图标
(文件夹图标,内含字母 D)
(常规文件夹图标)		项目视图在 Out of project 列表中显示未分配给任何项目的 TiDB X 实例。
项目中的资源类型仅 TiDB Cloud Dedicated 集群仅 TiDB X 实例仅 TiDB X 实例
项目是否可选
(每个 TiDB Cloud Dedicated 集群必须属于一个 Dedicated 项目)
(你可以将 TiDB X 实例分组到 TiDB X 项目中,也可以将其保留在组织级别)		未分配给任何项目的 TiDB X 实例会自动分组到 TiDB X 虚拟项目中。
项目设置
基础设施绑定
(强绑定)
RBAC 模型组织 -> 项目组织 -> 项目 -> 实例组织 -> 项目 -> 实例
项目级 RBAC
项目级计费
TiDB X 实例在 TiDB X 项目之间或全局范围内的移动
(仅全局)

用户角色

TiDB Cloud 定义了不同的用户角色,用于管理组织、项目和实例级别的权限。

你可以在组织级别、项目级别或实例级别为用户授予角色。请确保为安全考虑,合理规划你的组织、项目和资源的层级结构。

组织角色

在组织级别,TiDB Cloud 定义了五种角色,其中 Organization Owner 可以邀请成员并为成员分配组织角色。

权限Organization OwnerOrganization Billing ManagerOrganization Billing ViewerOrganization Console Audit ManagerOrganization Viewer
管理组织设置,如项目、API 密钥和时区。
邀请用户加入或移除用户出组织,并编辑用户的组织角色。
拥有该组织下所有项目的 Project Owner 权限,以及该组织下所有 TiDB X 实例的 TiDB X 实例角色的所有权限。
创建启用客户管理加密密钥(CMEK)的项目。
编辑组织的支付信息。
查看账单并使用 成本分析器
管理组织的 TiDB Cloud 控制台审计日志
查看组织内的用户及成员所属的项目。

项目角色

在项目级别,TiDB Cloud 定义了四种角色,其中 Project Owner 可以邀请成员并为成员分配项目角色。

权限Project OwnerProject Data Access Read-WriteProject Data Access Read-OnlyProject Viewer
管理项目设置
邀请用户加入或移除用户出项目,并编辑用户的项目角色。
管理项目的 数据库审计日志
管理项目下所有 TiDB Cloud Starter 实例的 消费限额
管理项目中的资源操作,例如创建、修改、移动和删除项目类型支持的实例或集群。
管理项目下 TiDB Cloud Starter 和 TiDB Cloud Essential 实例的分支,如分支创建、连接和删除。
管理资源数据,如数据导入、数据备份与恢复、数据迁移。
管理 Data Service 的只读操作,如使用或创建端点读取数据。
管理 Data Service 的读写操作。
使用 SQL Editor 查看资源数据(如果资源类型支持)。
使用 SQL Editor 修改和删除资源数据(如果资源类型支持)。
管理 changefeeds
审核和重置资源密码(如果资源类型支持)。
查看项目中的资源概览、备份记录、指标、事件和 changefeeds

实例角色

TiDB X 实例支持实例级角色,因此你可以授予对单个 TiDB X 实例的访问权限,而无需授予对项目中所有资源的相同访问权限。

权限Instance ManagerTiDB X Instance Data Access Read-WriteTiDB X Instance Data Access Read-OnlyTiDB X Instance Viewer
管理实例操作,例如实例创建、修改和删除。
使用 SQL Editor 查看和修改实例数据。
使用 SQL Editor 查看实例数据。
管理实例作用域的角色。
查看 TiDB X 实例的备份记录。
从备份恢复 TiDB X 实例。
查看实例概览。
查看网络设置。
查看监控和指标。
查看告警。

当你想要管理项目中的所有资源时,请使用项目角色;当你只想授予对特定 TiDB X 实例的访问权限时,请使用实例角色。

管理组织访问

查看并切换组织

要查看并切换组织,请执行以下步骤:

  1. TiDB Cloud 控制台中,点击左上角的下拉框。会显示你所属的组织列表。

    提示:

    • 如果你当前在某个 TiDB Cloud 资源页面,点击左上角下拉框后,还需点击下拉框中的 Back to My TiDB 返回到组织列表。
    • 如果你属于多个组织,可以在下拉框中点击目标组织名称,在不同组织间切换账户。

  2. 若要查看组织的详细信息(如组织 ID 和时区),点击组织名称,然后在左侧导航栏点击 Organization Settings > General

设置组织时区

如果你拥有 Organization Owner 角色,可以根据你的时区修改系统显示时间。

要更改本地时区设置,请执行以下步骤:

  1. TiDB Cloud 控制台中,使用左上角下拉框切换到目标组织。

  2. 在左侧导航栏点击 Organization Settings > General

  3. Time Zone 区域,从下拉列表中选择你的时区。

  4. 点击 Update

邀请用户加入你的组织

如果你拥有 Organization Owner 角色,可以邀请用户加入你的组织。

要邀请用户加入你的组织,请执行以下步骤:

  1. TiDB Cloud 控制台中,使用左上角下拉框切换到目标组织。

  2. 在左侧导航栏点击 Organization Settings > Users

  3. Users 页面,点击右上角的 Invite User

  4. 输入要邀请用户的邮箱地址。

    提示:

    如果你想一次邀请多个成员,可以输入多个邮箱地址。

  5. (可选)被邀请用户默认没有任何项目或实例权限。要为该用户授予项目或实例角色,请执行以下操作:

    • 要授予用户项目级别的访问权限,点击 Add Roles and Select Project,然后为用户授予角色并选择目标项目。
    • 要授予用户访问特定 TiDB X 实例的权限,点击 Add Roles and Select Instance,然后为用户授予角色并选择目标 TiDB X 实例。

  6. 点击 Invite。新用户会被成功添加到用户列表,同时会向被邀请邮箱发送一封带有验证链接的邮件。

  7. 用户收到邮件后,需要点击邮件中的链接进行身份验证,随后会显示一个新页面。

  8. 如果被邀请邮箱尚未注册 TiDB Cloud 账户,用户会被引导至注册页面创建账户;如果邮箱已注册 TiDB Cloud 账户,用户会被引导至登录页面,登录后账户会自动加入该组织。

移除组织成员

如果你拥有 Organization Owner 角色,可以将组织成员从你的组织中移除。

要将成员从组织中移除,请执行以下步骤:

  1. TiDB Cloud 控制台中,使用左上角下拉框切换到目标组织。

  2. 在左侧导航栏点击 Organization Settings > Users

  3. Users 页面,找到目标成员所在行,点击该行中的 ...,然后点击 Delete

  4. 在确认对话框中,点击 Delete

管理项目访问

本节介绍如何重命名项目以及如何邀请和移除项目成员。要了解如何创建或管理项目,请参见管理项目

重命名项目

如果你拥有 Organization Owner 角色,可以重命名你组织中的任何项目。如果你拥有 Project Owner 角色,可以重命名你的项目。

要重命名项目,请执行以下步骤:

  1. 在 TiDB Cloud 控制台中,导航到你组织的 My TiDB 页面,然后点击 Project view 标签页。

    提示:

    如果你属于多个组织,请先使用左上角下拉框切换到目标组织。

  2. 在项目视图中,找到目标项目的表格,点击表格右上角的 ...,然后点击 Rename

  3. 输入新的项目名称。

  4. 点击 Confirm

邀请项目成员

如果你拥有 Organization OwnerProject Owner 角色,可以邀请成员加入你的项目。

要邀请成员加入项目,请执行以下步骤:

  1. 在 TiDB Cloud 控制台中,导航到你组织的 My TiDB 页面,然后点击 图标进入项目视图。

    提示:

    如果你属于多个组织,请先使用左上角下拉框切换到目标组织。

  2. 在项目视图中,找到目标项目的表格,点击表格右上角的 ...,然后点击 Invite

  3. 在弹出的对话框中,输入要邀请用户的邮箱地址,然后为该用户选择一个项目角色。

    提示:

    如果你想一次邀请多个成员,可以输入多个邮箱地址。

  4. 点击 Confirm。新用户会被成功添加到用户列表,同时会向被邀请邮箱发送一封带有验证链接的邮件。

  5. 用户收到邮件后,需要点击邮件中的链接进行身份验证,随后会显示一个新页面。

  6. 如果被邀请邮箱尚未注册 TiDB Cloud 账户,用户会被引导至注册页面创建账户;如果邮箱已注册 TiDB Cloud 账户,用户会被引导至登录页面,登录后账户会自动加入该项目。

移除用户的项目访问权限

如果你拥有 Organization OwnerProject Owner 角色,可以移除项目成员。

要将成员从项目中移除,请执行以下步骤:

  1. TiDB Cloud 控制台中,使用左上角下拉框切换到目标组织。

  2. 在左侧导航栏点击 Organization Settings > Users

  3. Users 页面,找到目标成员所在行,点击该行中的 ...,然后点击 Edit Role

  4. Edit Role 对话框中,找到目标项目,然后点击 图标。

  5. 点击 Save

管理实例访问

授予 TiDB X 实例访问权限

如果你拥有 Organization OwnerProject Owner 角色,可以为用户授予特定 TiDB X 实例的实例角色。

要授予 TiDB X 实例的访问权限,请执行以下步骤:

  1. TiDB Cloud 控制台中,使用左上角下拉框切换到目标组织。

  2. 在左侧导航栏点击 Organization Settings > Users

  3. Users 页面,找到目标成员所在行,点击该行中的 ...,然后点击 Edit Role

    提示:

    如果该用户尚未加入你的组织,请点击右上角的 Invite User,并按照邀请用户加入你的组织中的步骤为用户授予实例角色。

  4. Edit Role 页面,点击 Instance access 部分的 Add Role and Select Instance,然后为用户授予角色并选择目标 TiDB X 实例。

  5. 点击 Save

移除用户的实例访问权限

如果你拥有 Organization OwnerProject Owner 角色,可以移除用户的实例访问权限。

要移除用户的实例访问权限,请执行以下步骤:

  1. TiDB Cloud 控制台中,使用左上角下拉框切换到目标组织。

  2. 在左侧导航栏点击 Organization Settings > Users

  3. Users 页面,找到目标成员所在行,点击该行中的 ...,然后点击 Edit Role

  4. Edit Role 对话框中,找到目标实例,然后点击 图标。

  5. 点击 Save

修改用户角色

要修改 TiDB Cloud 中用户的角色,请执行以下步骤:

  1. TiDB Cloud 控制台中,使用左上角下拉框切换到目标组织。

  2. 在左侧导航栏点击 Organization Settings > Users

  3. Users 页面,找到目标用户所在行,点击该行中的 ...,然后点击 Edit Role

    • 如果你拥有 Organization Owner 角色,可以修改目标用户的组织角色、项目角色和实例角色。
    • 如果你拥有 Project Owner 角色,可以修改目标用户的项目角色和实例角色。

  4. 点击 Save

管理用户资料

在 TiDB Cloud 中,你可以轻松管理你的资料,包括名字、姓氏和手机号。

  1. TiDB Cloud 控制台中,点击左下角的

  2. 点击 Account Settings

  3. 在弹出的对话框中,更新资料信息,然后点击 Update

文档内容是否有帮助?