データレイクコンピューティング(DLC)の使用中に、企業内の従業員に異なるアクセス権限を設定して、従業員間の権限分離を実現する必要がある場合、権限管理機能を使用して、ユーザーや作業グループに対して詳細な権限管理を行うことができます。
注意:
1. 権限のポリシーは製品の使用と密接に関連しており、製品機能を正式に使用する前に、管理者が作業グループやサブユーザーなどの役割のポリシーを事前に設定することをお勧めします。
2. 異なるリージョンでは、管理者がそのリージョンにおけるDLCのメンバー管理と権限管理を再設定する必要があります。
CAM認可
データレイクコンピューティング DLC には、完全なデータアクセス権限メカニズムが備わっています。サブアカウントの管理が必要な場合は、アクセス管理コンソールで対応するサブアカウントに QcloudDLCFullAccess(データレイクコンピューティング Data Lake Compute(DLC) フルアクセス) ポリシーを付与してください。具体的なサブアカウントの作成と権限付与の手順については、サブアカウントの作成と権限付与を参照してください。 データレイクコンピューティング DLC 製品は、データテーブルの行レベルおよび列レベルまで細分化された権限を備えており、この操作が権限を超えることを心配する必要はありません。
ユーザーとワークグループ
データレイクコンピューティング DLC は、ユーザーへの権限付与とワーキンググループへのバインディング権限付与の2つの方法でユーザー権限を管理します:
ユーザー:CAM 内のユーザー、管理者、サブアカウント、コラボレーターアカウントを含む。
ワークグループ:データレイクコンピューティング DLC は、一連のユーザーをワークグループにバインドし、そのグループにデータやエンジンなどのリソース権限を付与することで、ユーザー権限を一括管理できます。同じワークグループ内のユーザーは同じ権限を持ちます。
説明:
ユーザーに付与された権限と所属する作業グループの権限が異なる場合、両方の権限の和集合が適用されます。
デフォルトでは、管理者が作成した一般ユーザーには権限がありません。ユーザーを作業グループに追加し、その作業グループに適切な権限ポリシーを付与することで、その作業グループ内のユーザーは対応する権限を取得できます。
ユーザーを追加
データレイクコンピューティング DLC は、Tencent CloudアカウントIDをユーザーのデフォルトIDとして使用します。ユーザータイプは管理者と一般ユーザーに分かれており、管理者はすべてのリソースに対する権限を持っています。一般ユーザーは具体的な権限を付与されるか、作業グループにバインドして権限を取得する必要があります。
1. ユーザーを追加し、作業グループにバインドします。
<0>DLC コンソール</1>にログインし、<3>ユーザーと権限管理</3>を選択して、<5>ユーザー</5>リストページの左上にある青いボタン「<7>ユーザーを追加」</7>をクリックし、新しいユーザーを追加します。
2. ユーザー情報を入力します:直接Tencent Cloudユーザーを選択(メインアカウント下のすべてのサブアカウントまたは協力者アカウントにチェックを入れて追加)するか、手動で新規ユーザーを作成(ユーザーUINを入力して追加)し、ユーザータイプを選択します。
説明:
ユーザータイプを「一般ユーザー」に選択した場合、個人の権限を付与するか、指定のワークグループのすべての権限を取得することができます。ユーザータイプを「管理者」に選択した場合、ワークグループを紐付ける必要なく、すべての権限を取得できます。
3. ワークグループにバインド:バインドするワークグループを選択します(オプション)。
ユーザー権限付与
ユーザーリストで編集をクリックして、ユーザーごとに個別に権限を付与します。権限には「テーブル権限」と「エンジン権限」が含まれ、権限ポリシーはワークグループに関連する権限ポリシーと一致します。詳細な操作については、サブアカウント権限管理を参照してください。 重要説明:
DLCコンソール>ユーザーと権限管理>エンジン管理では、以前にリリースされたSuperSQLエンジンのみ権限管理がサポートされています。標準エンジンの権限管理はTencent Cloudアクセス管理CAMによって一元管理されており、標準エンジンはクラウドリソースとしてCAMを通じて高度に柔軟なリソースレベルの認証設定が可能で、企業レベルのセキュリティ管理ニーズを満たします。 ワークグループの追加
1. データレイクコンピューティングDLCの左側ナビゲーションバーでユーザーと権限管理を選択し、ワークグループ>ワークグループの追加をクリックしてユーザーのワークグループを作成します。ワークグループ作成時にはユーザーを選択してバインドするか、空のワークグループを作成できます。詳細な操作についてはユーザーとユーザーグループを参照してください。 2. 基本情報の入力:ワークグループ名と説明を入力します。
3. ユーザーのバインド(オプション):バインドされたユーザーは、このワークグループのすべての権限を取得します。
ワークグループの権限付与
ワークグループを作成した後、リストの権限付与操作をクリックして、ワークグループに権限を追加します。
テーブル権限
テーブル権限には以下が含まれます:
データディレクトリ権限:データディレクトリ内でのデータベース作成とデータディレクトリ作成の2種類の権限を含みます。
データベーステーブル権限:データベース、テーブル、ビュー、関数などに対するクエリや編集など、細かい粒度の権限を付与できます。
行レベル権限:データベーステーブル権限に加えて、行レベルフィルタ式を追加し、アクセス範囲を制限します。
エンジン権限
DLCデータエンジンはSuperSQLエンジンと標準エンジンの2種類に分かれています。詳細な違いと適用シナリオについてはデータエンジンを参照してください。以前にリリースされたSuperSQLエンジンの権限はDLCコンソールで管理され、DLCコンソール-権限管理でSuperSQLエンジンの権限を迅速に管理できます。一方、標準エンジンの権限管理はTencent Cloudアクセス管理CAMによって一元管理され、標準エンジンはクラウドリソースとしてCAMを通じて高度に柔軟なリソースレベルの認証設定が可能で、企業レベルのセキュリティ管理ニーズを満たします。リソースレベルの認証に関する詳細はリソースレベル認証ガイドを参照してください。 SuperSQLエンジン権限管理
DLCのSuperSQLデータエンジン操作権限には、データエンジンの使用、変更、操作、監視、削除権限が含まれます。具体的な権限は以下の通りです:
使用:このエンジンを選択してタスクを実行する権限。
変更:エンジンの基本情報および構成情報を変更できます(構成情報の変更には、CAM財務権限も必要です)。
操作:エンジンの保留、再起動を操作する権限。
監視:エンジンの実行中のタスクと監視情報を表示する権限。
削除:エンジンの返金処理を行う権限。
エンジン操作類権限の自動付与(SuperSQLエンジンのみ)
データレイクコンピューティング DLC は、SuperSQL エンジンの操作権限をデフォルトで有効にすることをサポートしています。有効にすると、すべてのユーザーはデフォルトでこのエンジンに対して以下の権限を持ちます:
このエンジンを使用してタスクを実行します。
操作:エンジンの一時停止、保留を操作します。
監視:エンジンの使用状況の監視とメンテナンスを行います。
注意:
1. 閉じた後、管理者はデフォルトでエンジンの各権限を引き続き保持しますが、一般ユーザーは管理者が権限管理ページで権限を追加する必要があります。
2. 既存の一般ユーザーが持つ権限は影響を受けません。ユーザーと権限管理ページで削除できます。 3. 今後新規作成される一般ユーザーには使用権限が付与されません。ユーザーと権限管理ページで手動で追加する必要があります。 自動的にエンジン権限を許可する機能を有効または無効にする方法
エンジンのデフォルトでオン/オフ操作クラスの権限エントリは2つあります:
エントリー1:エンジン購入ページ > 高度な設定項目
入口2:SuperSQLエンジンページに移動し、エンジン名の下にあるスライダーをスライドさせ、自動認証エンジン権限列で編集をクリックして変更します。エンジン権限設定が完了したら、確定をクリックします。 標準エンジン権限管理
標準エンジンの権限管理はTencent Cloudアクセス管理CAMによって一元管理され、標準エンジンはクラウドリソースとしてCAMを通じて高度に柔軟なリソースレベルの認証設定が可能であり、企業レベルのセキュリティ管理ニーズを満たします。標準エンジンの権限管理については、DLC権限概要の標準エンジン権限管理セクションを参照してください。