用户权限
用户权限包括数据权限和引擎权限(详细权限说明可参见 DLC 权限概述),需要有相应的数据权限,才能访问 DLC 中的数据。DLC 提供了库表级的权限管理,以及列级别的细粒度权限管理,方便您在不同场景下对用户或者组进行数据授权,精细化管理数据权限。另外,可以通过相应的引擎权限来管理 SuperSQL 引擎资源。
用户与工作组
用户:CAM 中的用户,包括子账号、协作者账号。
工作组:产品内部管理的包括一批用户的组,组内用户权限相同。
说明
当用户被赋予的权限与所在工作组权限不同时,两者权限取并集。
通过工作组,您可以快速对人员进行权限赋予,无需重复对每个用户进行授权,企业用户推荐使用工作组模式进行授权。
添加用户权限
为指定用户授予权限。
1. 设置用户为管理员/普通用户:操作步骤可看用户和工作组 添加用户部分。管理员类型用户不需要绑定工作组即拥有所有资源,包括数据、引擎等的所有权限,并可以管理主账号外的管理员用户。该权限需要谨慎设置。
2. 绑定工作组:在用户类型下方的工作组选项勾选绑定到工作组,对于普通用户,需要授予相应的权限或者绑定到工作组,来访问相应的资源。
3. 添加数据权限:在用户列表页面,在最右侧操作栏下的编辑选项,进入编辑用户页面,选择授权操作,在编辑页面选择授予用户数据目录或库表的权限。
添加数据目录权限。数据目录可以设置 DataLakeCatalog 下的数据库创建权限,以及其他数据目录的创建权限。
添加数据库表权限。在数据库表权限设置模块单击添加权限,包含常规设置和高级设置两种模式。常规权限设置:可以添加指定目录下的数据库表权限,设置查询分析、数据编辑、所有者权限。
具体权限如下:
权限类型 | 数据库 | 数据表 | 视图与函数 |
查询分析权限 | 对数据库中所有表、视图、函数的查询权限。 创建数据表的权限。 | 查询 | 查询 |
数据编辑权限 | 库的修改、删除、建表权限。 所有表、视图、函数的所有权限。 | 数据的查询、插入、更新、删除。 表的修改、删除。 | 查询、创建、修改、删除 |
所有者权限(在数据编辑权限的基础上,可对权限进行再次授权。) | 库的修改、删除、建表。 所有表、视图、函数的所有权限。 | 数据的查询、插入、更新、删除。 表的修改、删除。 | 查询、创建、修改、删除 |
高级权限设置:选择单个数据库,可继续设置库下表、视图、函数的查询、插入、更新、删除,选择多个数据库时,将只设置数据库的权限。
高级模式下支持在列级别进行权限设置。选择单个数据表,可添加列的查询权限。支持选择一个/多个列或选择全部列进行授权。在数据探索页面查询有查询权限的列,运行结果返回该列内容;查询无查询权限的列,运行报错信息为该列未被授权查询权限。
4. 添加引擎权限(仅支持 SuperSQL 引擎):在用户对应操作栏下的编辑,进入编辑界面,选择引擎权限,为指定资源授予使用、修改、操作、监控、删除权限。
重要须知:
在 DLC 控制台 > 权限管理 > 引擎管理中,仅支持对较早推出的 SuperSQL 引擎进行权限管理,而标准引擎的权限管理则由 腾讯云访问管理 CAM 统一控制,标准引擎可作为一项云资源通过 CAM 进行高度灵活的资源级鉴权设置,满足企业级安全管理需要。关于标准引擎的权限管理实践,可参考 DLC 权限概述 中的标准引擎权限管理部分。
修改用户权限
1. 在用户列表中选择操作栏下的编辑选项,进入授权界面,选择库表权限或引擎权限(仅 SuperSQL 引擎)。
2. 在授权界面(以数据库表权限为例),通过添加权限或移除权限,进行权限的修改(引擎权限的修改执行同样的操作)。
3. 修改工作组或用户类型,可单击操作 > 编辑,进入用户编辑用户的界面,支持修改用户名称、用户类型、描述。普通用户可添加或移除工作组。
4. 单击编辑按钮,可更改用户类型。
查看用户权限
1. 单击用户列表中的用户 ID,进入查看用户详情页。
2. 查看用户所在工作组、数据权限、引擎权限等信息。
移除用户权限
对于需要回收的权限,可在用户的权限列表中,单击操作栏下的删除即可将该权限移除。移除用户需要管理员操作。
添加与移除组的权限
添加与移除工作组需要管理员操作,与用户的数据权限操作相似。选择权限管理页的工作组,可查看工作组列表,组中的用户拥有该组所拥有的所有权限。可以通过将一批用户绑定到工作组,并授予该组数据、引擎等资源权限,来批量管理用户权限。管理员不需要绑定到工作组。
