在使用 数据湖计算 DLC 的过程中,如果您需要给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,可以使用权限管理功能,针对用户、工作组进行精细的权限管理。
注意:
1. 权限的策略与产品的使用有高度关联关系,建议在正式使用产品功能前,管理员提前配置好工作组、子用户等角色的策略。
2. 不同地域,需要管理员重新配置该地域下的 DLC 的成员管理与权限管理。
CAM 授权
数据湖计算 DLC 具备完善的数据访问权限机制。如果您有子账号的管理需求,请在访问管理控制台中授予对应子账号QcloudDLCFullAccess(数据湖计算 Data Lake Compute(DLC) 全读写访问)策略。具体创建子账号和授权策略的操作步骤请参见创建子账号并授权。
数据湖计算 DLC 产品具备粒度细化到数据表行级列级的权限,您无需担心此操作会越权。
用户与工作组
数据湖计算 DLC 通过对用户授权和绑定工作组授权两种方式来管理用户权限:
用户:CAM 中的用户,包括管理员、子账号、协作者账号。
工作组:数据湖计算 DLC 可以将一批用户绑定到工作组,并授予该组数据、引擎等资源权限,来批量管理用户权限,在同一个工作组的用户具有相同的权限。
说明
当用户被赋予的权限与所在工作组权限不同时,两者权限取并集。
默认情况下,管理员创建的普通用户没有任何权限,需要将其加入工作组,并授予工作组相应的权限策略,才能使该工作组中的用户获得对应权限。
添加用户
数据湖计算 DLC 使用腾讯云账号 ID 作为用户默认 ID,用户类型分为管理员与普通用户,管理员拥有所有资源的权限,普通用户需要授予具体的权限,或者绑定工作组来获取权限。
1. 添加用户并绑定工作组。
2. 填写基本信息:填写用户 ID、用户名称和描述,选择用户类型。
说明:
选择用户类型为“普通用户”时,可通过个人授权或获取指定工作组的所有权限,选择用户类型为“管理员”时不需要绑定工作组,即可获取所有权限。
3. 绑定工作组:选择工作组进行绑定(非必选)。
用户授权
添加工作组
2. 填写基本信息:填写工作组名称和描述。
3. 绑定用户:绑定的用户将获得该工作组下的所有权限。
工作组授权
创建工作组后单击列表中的授权操作,为工作组添加权限,包括数据权限和引擎权限。
数据权限
数据权限包含:
数据目录权限:包括在数据目录下创建数据库和创建数据目录两种权限。
数据库表权限:可授予库表级别的细粒度权限,包括对库、表、视图、函数的查询和编辑等权限。
引擎权限
选择数据引擎并授予使用、修改、删除等权限。
引擎操作类权限自动授权
数据湖计算 DLC支持默认开启引擎操作类权限,开启后,所有用户默认拥有该引擎的下列权限:
使用:使用该引擎进行任务执行。
操作:操作引擎的暂停、挂起。
监控:针对引擎的使用情况监控运维。
注意:
1. 关闭后,管理员默认继续拥有引擎各权限,普通用户需管理员在权限管理页添加权限。
2. 原有普通用户拥有权限不受影响,可前往权限管理页删除。
3. 后续新建普通用户无使用权限,需在权限管理页手动添加。
如何开启、关闭自动授权引擎权限
引擎默认开启/关闭操作类权限入口有两个:
入口一:引擎购买页 > 高级配置项
引擎权限设置完成后,单击确定。
