Once VTAdmin has obtained an actor from the incoming request, VTAdmin validates the actor against the RBAC. As such, the flow of handling the permissions of incoming requests looks as such: Authentication interface: https://github.com/vitessio/vitess/blob/da1906d54eaca4447e039d90b96fb07251ae852c/g o/vt/vtadmin/rbac/authentication.go#L37. Vitess links to an example authentication plugin which is available here: https://gist The logic is implemented here: https://github.com/vitessio/vitess/tree/main/go/vt/vtadmin/rbac. VTAdmin checks RBAC rules in the route handlers with a call to IsAuthorized, for example: https://github.c

Transparent layer security (TLS) Y Y Y Y Y Encryption at rest (TDE) Y Y Y Y Y Role-based authentication (RBAC) Y Y Y Y Y Certificate-based authentication Y Y Y Y Y caching_sha2_password authentication Y Y N control (RBAC) system is similar to that of MySQL 8.0. TiDB is compatible with most RBAC syntax of MySQL. This document introduces TiDB RBAC-related operations and implementation. 12.10.4.1 RBAC operations USER privilege. 12.10.4.1.11 Authorization table In addition to four system privilege tables, the RBAC system introduces two new system privilege tables: • mysql.role_edges: records the authorization

Transparent layer security (TLS) Y Y Y Y Encryption at rest (TDE) Y Y Y Y Role-based authentication (RBAC) Y Y Y Y Certificate-based authentication Y Y Y Y caching_sha2_password authentication Y N N N MySQL control (RBAC) system is similar to that of MySQL 8.0. TiDB is compatible with most RBAC syntax of MySQL. This document introduces TiDB RBAC-related operations and implementation. 12.10.4.1 RBAC operations USER privilege. 12.10.4.1.11 Authorization table In addition to four system privilege tables, the RBAC system introduces two new system privilege tables: • mysql.role_edges: records the authorization

Transparent layer security (TLS) Y Y Y Y Encryption at rest (TDE) Y Y Y Y Role-based authentication (RBAC) Y Y Y Y Certificate-based authentication Y Y Y Y caching_sha2_password authentication Y N N N MySQL control (RBAC) system is similar to that of MySQL 8.0. TiDB is compatible with most RBAC syntax of MySQL. This document introduces TiDB RBAC-related operations and implementation. 12.10.4.1 RBAC operations USER privilege. 12.10.4.1.11 Authorization table In addition to four system privilege tables, the RBAC system introduces two new system privilege tables: • mysql.role_edges: records the authorization

layer security (TLS) Y Y Y Y Y Y Encryption at rest (TDE) Y Y Y Y Y Y Role-based authentication (RBAC) Y Y Y Y Y Y Certificate-based authentication Y Y Y Y Y Y caching_sha2_password authentication Y control (RBAC) system is similar to that of MySQL 8.0. TiDB is compatible with most RBAC syntax of MySQL. This document introduces TiDB RBAC-related operations and implementation. 12.10.4.1 RBAC operations USER privilege. 12.10.4.1.11 Authorization table In addition to four system privilege tables, the RBAC system introduces two new system privilege tables: • mysql.role_edges: records the authorization

实验特性 实验特性 2.3.9 安全 安全 5.3 5.2 5.1 5.0 4.0 传输层加密 (TLS) Y Y Y Y Y 静态加密 (TDE) Y Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y Y 证书鉴权 Y Y Y Y Y caching_sha2_password 认证 Y Y N N N 与 MySQL 兼容的 GRANT 权限管理 Y Y Y Y Y 节点更新缓存，运行如下命令可使改动立即生效： FLUSH PRIVILEGES; 详情参见权限管理。 12.10.4 基于角色的访问控制 TiDB 的基于角色的访问控制 (RBAC) 系统的实现类似于 MySQL 8.0 的 RBAC 系统。TiDB 兼容大部分 MySQL RBAC 系统 的语法。 本文档主要介绍 TiDB 基于角色的访问控制相关操作及实现。 12.10.4.1 角色访问控制相关操作 角色是一系列权限 ALTER PLACEMENT POLICY • DROP PLACEMENT POLICY 12.11.2.28 CREATE ROLE CREATE ROLE 语句是基于角色的访问控制 (RBAC) 操作的一部分，用于创建新角色并将新角色分配给用户。 12.11.2.28.1 语法图 CreateRoleStmt ::= 'CREATE' 'ROLE' IfNotExists RoleSpec

security (TLS) Y Y Y Y Y Y Y Y Encryption at rest (TDE) Y Y Y Y Y Y Y Y Role-based authentication (RBAC) Y Y Y Y Y Y Y Y Certificate-based authentication Y Y Y Y Y Y Y Y caching_sha2_password authentication control (RBAC) system is similar to that of MySQL 8.0. TiDB is compatible with most RBAC syntax of MySQL. This document introduces TiDB RBAC-related operations and implementation. 2931 14.10.4.1 RBAC operations privilege. 2937 14.10.4.1.11 Authorization table In addition to four system privilege tables, the RBAC system introduces two new system privilege tables: • mysql.role_edges: records the authorization

5.2 5.1 5.0 4.0 2.3.9 安全 安全 5.2 5.1 5.0 4.0 传输层加密 (TLS) Y Y Y Y 静态加密 (TDE) Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y 证书鉴权 Y Y Y Y caching_sha2_password 认证 Y N N N 与 MySQL 兼容的 GRANT 权限管理 Y Y Y Y 动态权限 Y Y FLUSH PRIVILEGES; 详情参见权限管理。 1247 12.10.4 基于角色的访问控制 TiDB 的基于角色的访问控制 (RBAC) 系统的实现类似于 MySQL 8.0 的 RBAC 系统。TiDB 兼容大部分 MySQL RBAC 系统 的语法。 本文档主要介绍 TiDB 基于角色的访问控制相关操作及实现。 12.10.4.1 角色访问控制相关操作 角色是一系列权限 • ADD COLUMN • CREATE TABLE • EXPLAIN 1352 12.11.2.25 CREATE ROLE CREATE ROLE 语句是基于角色的访问控制 (RBAC) 操作的一部分，用于创建新角色并将新角色分配给用户。 12.11.2.25.1 语法图 CreateRoleStmt ::= 'CREATE' 'ROLE' IfNotExists RoleSpec

实验特性 实验特性 实验特性 2.3.9 安全 安全 5.2 5.1 5.0 4.0 传输层加密 (TLS) Y Y Y Y 静态加密 (TDE) Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y 37 安全 5.2 5.1 5.0 4.0 证书鉴权 Y Y Y Y caching_sha2_password 认证 Y N N N 与 MySQL 兼容的 GRANT 节点更新缓存，运行如下命令可使改动立即生效： FLUSH PRIVILEGES; 详情参见权限管理。 12.10.4 基于角色的访问控制 TiDB 的基于角色的访问控制 (RBAC) 系统的实现类似于 MySQL 8.0 的 RBAC 系统。TiDB 兼容大部分 MySQL RBAC 系统 的语法。 本文档主要介绍 TiDB 基于角色的访问控制相关操作及实现。 12.10.4.1 角色访问控制相关操作 角色是一系列权限 INDEX • ADD COLUMN • CREATE TABLE • EXPLAIN 12.11.2.25 CREATE ROLE CREATE ROLE 语句是基于角色的访问控制 (RBAC) 操作的一部分，用于创建新角色并将新角色分配给用户。 12.11.2.25.1 语法图 CreateRoleStmt ::= 'CREATE' 'ROLE' IfNotExists RoleSpec

2.3.9 安全 安全 5.4 5.3 5.2 5.1 5.0 4.0 传输层加密 (TLS) Y Y Y Y Y Y 静态加密 (TDE) Y Y Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y Y Y 证书鉴权 Y Y Y Y Y Y caching_sha2_password 认证 Y Y Y N N N 与 MySQL 兼容的 GRANT 权限管理 Y Y Y 节点更新缓存，运行如下命令可使改动立即生效： FLUSH PRIVILEGES; 详情参见权限管理。 12.10.4 基于角色的访问控制 TiDB 的基于角色的访问控制 (RBAC) 系统的实现类似于 MySQL 8.0 的 RBAC 系统。TiDB 兼容大部分 MySQL RBAC 系统 的语法。 本文档主要介绍 TiDB 基于角色的访问控制相关操作及实现。 12.10.4.1 角色访问控制相关操作 角色是一系列权限 ALTER PLACEMENT POLICY • DROP PLACEMENT POLICY 12.11.2.28 CREATE ROLE CREATE ROLE 语句是基于角色的访问控制 (RBAC) 操作的一部分，用于创建新角色并将新角色分配给用户。 12.11.2.28.1 语法图 CreateRoleStmt ::= 'CREATE' 'ROLE' IfNotExists RoleSpec