DLC 权限包括数据权限和数据引擎权限。拥有管理员权限的用户可以登录 DLC 控制台或者使用 API, 将数据和数据引擎权限授权给子用户(仅 SuperSQL 引擎)。任何子用户的权限都需要被授予,否则无法执行数据和引擎的使用、修改、删除等操作。
用户与工作组
数据湖计算 DLC 为客户提供了两种人员管理模式:用户模式与工作组模式,两种模式皆可对 DLC 的使用者进行权限管理。
用户:CAM 中的用户,包括子账号、协作者账号。
工作组:产品内部管理的包括一批用户的组,组内用户权限相同。
说明
当用户被赋予的权限与所在工作组权限不同时,两者权限取并集。
用户类型
数据湖计算 DLC 的用户类型分为 DLC 管理员和普通用户。
DLC 管理员:负责管理使用 DLC 的用户,拥有所有的数据、引擎、任务等权限,可对用户及工作组进行管理操作(新增、授权、移除)。
普通用户:DLC 的普通使用者,由 DLC 管理员添加,默认无任何 DLC 权限,需要授权以获取相应权限。仅可对拥有再授权权限的数据、引擎权限进行授权。
权限&操作 | DLC 管理员 | 普通用户 |
数据权限 | 所有权限 | 默认无,由 DLC 管理员授权。 |
数据引擎权限 | 所有权限 | SuperSQL引擎默认无,由 DLC 管理员授权。 |
用户管理 | 可进行 | 不可操作。 |
工作组管理 | 可进行 | 不可操作。 |
授权范围 | 所有权限 | 权限中可授权的权限。 |
说明
上述权限仅包括数据湖计算 DLC 内定义的权限,购买/变更配置/退费等关于费用的操作需额外前往访问管理 CAM 授予财务权限 QCloudFinanceFullAccess(授权操作可参见:创建子账号并授权),不包含在上述权限中。
数据权限
DLC 的数据权限包括对数据目录、数据库和数据表的操作权限。为方便您的管理及配置,我们提供了两种权限授予模式:常规权限设置、高级权限设置。
常规权限设置模式下,您可以直接给用户授予角色(角色与权限对应参见 子账号权限管理),而无需关注具体的权限配置。授权粒度覆盖数据目录、数据库、数据表。适合快速授权、无需复杂权限管理场景。
高级权限设置模式下,您可以对单个数据库及数据库内的数据表、视图、函数进行全面授权,适合需要精细权限管理场景。
操作权限对应的 SQL 操作如下:
Action | CREATE | ALTER | DROP | SELECT | INSERT | DELETE | Target |
CREATE DATABASE | ✓ | - | - | - | - | - | Catalog |
ALTER DATABASE | - | ✓ | - | - | - | - | Database |
DROP DATABASE | - | - | ✓ | - | - | - | Database |
CREATE TABLE | ✓ | - | - | - | - | - | Database |
CREATE TABLE AS SELECT | ✓ | - | - | ✓ | ✓ | - | Database/Table |
DROP TABLE | - | - | ✓ | - | - | - | Table |
ALTER TABLE LOCATION | - | ✓ | - | - | - | - | Table |
ALTER PARTITION LOCATION | - | ✓ | - | - | - | - | Table |
ALTER TABLE ADD PARTITION | - | ✓ | - | - | - | - | Table |
ALTER TABLE DROP PARTITION | - | ✓ | - | - | - | - | Table |
ALTER TABLE | - | ✓ | - | - | - | - | Table |
CREATE VIEW | ✓ | - | - | - | - | - | Database |
ALTER VIEW PROPERTIES | - | ✓ | - | - | - | - | View |
ALTER VIEW RENAME | - | ✓ | - | - | - | - | View |
DROP VIEW PROPERTIES | - | ✓ | ✓ | - | - | - | View |
DROP VIEW | - | - | ✓ | - | - | - | View |
SELECT TABLE | - | - | - | ✓ | - | - | Table |
INSERT | - | - | - | - | ✓ | - | Table |
INSERT OVERWRITE | - | - | - | - | ✓ | ✓ | Table |
CREATE FUNCTION | ✓ | - | - | - | - | - | Database |
DROP FUNCTION | - | - | ✓ | - | - | - | Function |
SELECT VIEW | - | - | - | ✓ | - | - | View |
SELECT FUNCTION | - | - | - | ✓ | - | - | Function |
数据引擎权限
DLC 数据引擎分为 SuperSQL 引擎和标准引擎两类,详细区别和应用场景请参考 数据引擎 。较早推出的 SuperSQL 引擎权限由 DLC 控制台进行管理,您可在 DLC 控制台 > 用户与权限管理 中对 SuperSQL 引擎进行快速的权限管理。而标准引擎的权限管理则由 腾讯云访问管理 CAM 统一控制 ,标准引擎可作为一项云资源通过 CAM 进行高度灵活的资源级鉴权设置,满足企业级安全管理需要。关于资源级鉴权可进一步参考文档 资源级鉴权指南 。
SuperSQL 引擎权限管理
DLC 的 SuperSQL 数据引擎操作权限包括对数据引擎的使用、修改、操作、监控、删除权限。具体权限如下:
使用:选择使用该引擎进行任务的权限。
修改:可以修改引擎的基础信息及配置信息(配置信息修改需同时具备 CAM 财务权限)。
操作:对引擎进行挂起、重启操作的权限。
监控:查看引擎的运行任务与监控信息的权限。
删除:对引擎进行退费处理权限。
标准引擎权限管理
DLC 标准引擎权限由 腾讯云访问管理 CAM 统一控制,为保证子账号能够顺利使用 DLC 标准引擎,主账号需要对子账户进行授权。标准引擎创建后,所有拥有 QcloudDLCFullAccess(数据湖计算 Data Lake Compute(DLC) 全读写访问)策略的子用户均有标准引擎权限,如果您需要精细化管理标准引擎的权限,如A用户仅有A引擎的权限,可通过创建自定义策略实现。
需求场景 | 操作 |
场景一:子账号拥有全部标准引擎权限 | 为子账号关联 QcloudDLCFullAccess 预设策略 |
场景二:子账号拥有部分标准引擎权限 | 创建自定义策略 |
说明:
您可根据具体的需求,根据上述两种情况选择以下方式管理标准引擎的用户权限。
场景一:授予子用户所有标准引擎权限
主账号或具备 CAM 操作权限的子账号登录后,在子账号列表中找到对应的子账号,单击操作列的授权,搜索 QcloudDLCFullAccess 并选择,点击确定,具体操作可进一步参考 新用户开通全流程。
注意:
QcloudDLCFullAccess 授予子账号数据湖计算 DLC 全读写权限,包括所有标准引擎的使用和管理。
场景二:授予子用户部分标准引擎权限
数据湖计算 DLC 支持基于 CAM 标签的资源级鉴权,您可通过标签来进行 DLC 已有标准引擎资源和引擎相关 API 权限进行分类管理,从而实现对资源进行多维度分类管理以及精细化授权。关于腾讯云标签请参见 腾讯云标签。
说明:
基于腾讯云标签,您在 DLC 的标准引擎中,可快速实现以下效果:
部门 A 的所有用户仅可使用打上部门 A 标签的标准引擎资源,无法使用标记了其他标签的标准引擎;
部门 A 用户在创建 DLC 标准引擎资源时,需要强制打上部门 A 标签,如果不打标签或打非部门 A 标签则会创建失败(可选)。
操作步骤
步骤一:创建标签
输入标签键和标签值,单击确定即可创建成功,如创建一个部门名称为Analyze的标签,Key 可输入“department”、Value为“Analyze”。
步骤二:为标准引擎打上标签
注意:
一旦为标准引擎打上特定标签,如上述示例的“department:Analyze”,则后续只有关联了这个标签的子用户才能看到和使用此标准引擎。
步骤三:创建自定义策略
1. 进入腾讯云 访问控制 CAM 控制台,选择左侧导航栏策略点击新建自定义策略,在弹出对话框选择按标签授权。
2. 在自定义策略生成向导中,服务搜索选择DLC,Action 勾选全部操作 (dlc:*)。
注意:
全部操作 (dlc:*)含义是授予用户操作全部 DLC 云 API 权限,如需要限制用户不能具有标准引擎销毁、创建或修改权限,则在上述全部操作 (dlc:*)反选以下对应接口即可。
情况 | 需反选的 DLC 接口 |
无法销毁引擎 | DeleteDataEngine |
无法创建引擎 | CreateDataEngine |
无法修改引擎 | UpdateDataEngine |
3. 标签选择此前创建的 “department:Analyze” 标签,Condition Key 默认勾选 Resource_tag。注意是否授予不支持标签的接口 "resource": "*" 权限需要勾选“是”,如不勾选会导致关联的子用户,因无 DLC 控制台中非标签级鉴权接口的权限而无法正常访问。
说明:
如果您需要实现部门为 Analyze 的用户创建 DLC 标准引擎资源时,需要强制为新建引擎关联“department:Analyze”标签的效果,则可选择勾选request_tag。关于 request_tag 的进一步介绍和用法可参考文档 创建资源时强制绑定固定标签键值 。
4. 单击下一步,因涉及 DLC 接口较多,CAM 会创建多个分割子策略,您可对分割的子自定义策略填写一个方便搜索的名称,如 DLC-department-analyze-tag-policy 。在关联用户或关联用户组中选择需要关联到本自定义策略的用户/用户组,如本示例中关联所有Analyze部门的员工子账号。
5. 单击完成,即可完成自定义策略创建。成功创建上述自定义策略后,所有被关联到此自定义策略的 DLC 用户仅能访问打上 department:Analyze 标签的标准引擎。
注意:
1. 为后续用户维护方便,建议使用用户组进行关联。
2. 如关联到自定义策略的用户,已经关联过QcloudDLCFullAccess预设策略,则用户仍然会拥有所有标准引擎权限。
