tencent cloud

数据湖计算

产品动态
产品简介
产品概述
产品优势
应用场景
购买指南
计费概述
退费说明
欠费说明
调整配置费用说明
快速入门
新用户开通全流程
DLC 数据导入指引
一分钟入门 DLC 数据分析
一分钟入门 DLC 权限管理
一分钟入门分区表
开启数据优化
跨源分析 EMR Hive 数据
标准引擎配置指引
配置数据访问策略
操作指南
控制台操作介绍
开发指南
运行环境
SparkJar 作业开发指南
PySpark 作业开发指南
查询性能优化指南
UDF 函数开发指南
系统约束
客户端访问
JDBC 访问
TDLC 命令行工具访问
第三方软件联动
Python 访问
实践教程
通过 Power BI 访问 DLC 数据操作指南
建表实践
使用 Apache Airflow 调度 DLC 引擎提交任务
StarRocks 直接查询 DLC 内部存储
Spark 计算成本优化实践
DATA + AI
使用 DLC 分析 CLS 日志
使用角色 SSO 访问 DLC
资源级鉴权指南
在 DLC 中实现 TCHouse-D 读写操作
DLC 原生表
SQL 语法
SuperSQL 语法
标准 Spark 语法概览
标准 Presto 语法概览
保留字
API 文档
History
Introduction
API Category
Making API Requests
Data Table APIs
Task APIs
Metadata APIs
Service Configuration APIs
Permission Management APIs
Database APIs
Data Source Connection APIs
Data Optimization APIs
Data Engine APIs
Resource Group for the Standard Engine APIs
Data Types
Error Codes
通用类参考
错误码
配额与限制
第三方软件连接DLC操作指南
常见问题
权限类常见问题
引擎类常见问题
功能类常见问题
Spark 作业类常见问题
DLC 政策
隐私协议
数据处理和安全协议
服务等级协议
联系我们
文档数据湖计算操作指南控制台操作介绍系统管理用户与权限管理DLC 权限概述

DLC 权限概述

PDF
聚焦模式
字号
最后更新时间: 2026-01-06 17:38:47
DLC 权限包括数据权限和数据引擎权限。拥有管理员权限的用户可以登录 DLC 控制台或者使用 API, 将数据和数据引擎权限授权给子用户(仅 SuperSQL 引擎)。任何子用户的权限都需要被授予,否则无法执行数据和引擎的使用、修改、删除等操作。

用户与工作组

数据湖计算 DLC 为客户提供了两种人员管理模式:用户模式与工作组模式,两种模式皆可对 DLC 的使用者进行权限管理。 用户:CAM 中的用户,包括子账号、协作者账号。 工作组:产品内部管理的包括一批用户的组,组内用户权限相同。
说明
当用户被赋予的权限与所在工作组权限不同时,两者权限取并集。
通过工作组,您可以快速对人员进行权限赋予,无需重复对每个用户进行授权,企业用户推荐使用工作组模式进行授权。详细操作步骤参见 用户与工作组

用户类型

数据湖计算 DLC 的用户类型分为 DLC 管理员普通用户
DLC 管理员:负责管理使用 DLC 的用户,拥有所有的数据、引擎、任务等权限,可对用户及工作组进行管理操作(新增、授权、移除)。
普通用户:DLC 的普通使用者,由 DLC 管理员添加,默认无任何 DLC 权限,需要授权以获取相应权限。仅可对拥有再授权权限的数据、引擎权限进行授权。
权限&操作
DLC 管理员
普通用户
数据权限
所有权限
默认无,由 DLC 管理员授权。
数据引擎权限
所有权限
SuperSQL引擎默认无,由 DLC 管理员授权。
标准引擎默认有,可通过 CAM 进行管理,详细参见 标准引擎权限管理
用户管理
可进行
不可操作。
工作组管理
可进行
不可操作。
授权范围
所有权限
权限中可授权的权限。
说明
上述权限仅包括数据湖计算 DLC 内定义的权限,购买/变更配置/退费等关于费用的操作需额外前往访问管理 CAM 授予财务权限 QCloudFinanceFullAccess(授权操作可参见:创建子账号并授权),不包含在上述权限中。

数据权限

DLC 的数据权限包括对数据目录、数据库和数据表的操作权限。为方便您的管理及配置,我们提供了两种权限授予模式:常规权限设置、高级权限设置。
常规权限设置模式下,您可以直接给用户授予角色(角色与权限对应参见 子账号权限管理),而无需关注具体的权限配置。授权粒度覆盖数据目录、数据库、数据表。适合快速授权、无需复杂权限管理场景。
高级权限设置模式下,您可以对单个数据库及数据库内的数据表、视图、函数进行全面授权,适合需要精细权限管理场景。
操作权限对应的 SQL 操作如下:
Action
CREATE
ALTER
DROP
SELECT
INSERT
DELETE
Target
CREATE DATABASE
-
-
-
-
-
Catalog
ALTER DATABASE
-
-
-
-
-
Database
DROP DATABASE
-
-
-
-
-
Database
CREATE TABLE
-
-
-
-
-
Database
CREATE TABLE AS SELECT
-
-
-
Database/Table
DROP TABLE
-
-
-
-
-
Table
ALTER TABLE LOCATION
-
-
-
-
-
Table
ALTER PARTITION LOCATION
-
-
-
-
-
Table
ALTER TABLE ADD PARTITION
-
-
-
-
-
Table
ALTER TABLE DROP PARTITION
-
-
-
-
-
Table
ALTER TABLE
-
-
-
-
-
Table
CREATE VIEW
-
-
-
-
-
Database
ALTER VIEW PROPERTIES
-
-
-
-
-
View
ALTER VIEW RENAME
-
-
-
-
-
View
DROP VIEW PROPERTIES
-
-
-
-
View
DROP VIEW
-
-
-
-
-
View
SELECT TABLE
-
-
-
-
-
Table
INSERT
-
-
-
-
-
Table
INSERT OVERWRITE
-
-
-
-
Table
CREATE FUNCTION
-
-
-
-
-
Database
DROP FUNCTION
-
-
-
-
-
Function
SELECT VIEW
-
-
-
-
-
View
SELECT FUNCTION
-
-
-
-
-
Function

数据引擎权限

DLC 数据引擎分为 SuperSQL 引擎标准引擎两类,详细区别和应用场景请参考 数据引擎 。较早推出的 SuperSQL 引擎权限由 DLC 控制台进行管理,您可在 DLC 控制台 > 用户与权限管理 中对 SuperSQL 引擎进行快速的权限管理。而标准引擎的权限管理则由 腾讯云访问管理 CAM 统一控制 ,标准引擎可作为一项云资源通过 CAM 进行高度灵活的资源级鉴权设置,满足企业级安全管理需要。

SuperSQL 引擎权限管理

DLC 的 SuperSQL 数据引擎操作权限包括对数据引擎的使用、修改、操作、监控、删除权限。具体权限如下:
使用:选择使用该引擎进行任务的权限。
修改:可以修改引擎的基础信息及配置信息(配置信息修改需同时具备 CAM 财务权限)。
操作:对引擎进行挂起、重启操作的权限。
监控:查看引擎的运行任务与监控信息的权限。
删除:对引擎进行退费处理权限。
单个用户可被授予多组权限,关于 SuperSQL 引擎的授权详细操作参见 子账号权限管理

标准引擎权限管理

DLC 标准引擎权限由 腾讯云访问管理 CAM 统一控制,为保证子账号能够顺利使用 DLC 标准引擎,主账号需要对子账户进行授权。标准引擎创建后,所有拥有 QcloudDLCFullAccess(数据湖计算 Data Lake Compute(DLC) 全读写访问)策略的子用户均有标准引擎权限,如果您需要精细化管理标准引擎的权限,如A用户仅有A引擎的权限,可通过创建自定义策略实现
需求场景
操作
场景一:子账号拥有全部标准引擎权限
为子账号关联 QcloudDLCFullAccess 预设策略
场景二:子账号拥有部分标准引擎权限
创建自定义策略
说明:
您可根据具体的需求,根据上述两种情况选择以下方式管理标准引擎的用户权限。

场景一:授予子用户所有标准引擎权限

主账号或具备 CAM 操作权限的子账号登录后,在子账号列表中找到对应的子账号,单击操作列的授权,搜索 QcloudDLCFullAccess 并选择,点击确定,具体操作可进一步参考 新用户开通全流程
注意:
QcloudDLCFullAccess 授予子账号数据湖计算 DLC 全读写权限,包括所有标准引擎的使用和管理。

场景二:授予子用户部分标准引擎权限

数据湖计算 DLC 支持基于 CAM 标签的资源级鉴权,您可通过标签来进行 DLC 已有标准引擎资源和引擎相关 API 权限进行分类管理,从而实现对资源进行多维度分类管理以及精细化授权。关于腾讯云标签请参见 腾讯云标签
说明:
基于腾讯云标签,您在 DLC 的标准引擎中,可快速实现以下效果:
部门 A 的所有用户仅可使用打上部门 A 标签的标准引擎资源,无法使用标记了其他标签的标准引擎;
部门 A 用户在创建 DLC 标准引擎资源时,需要强制打上部门 A 标签,如果不打标签或打非部门 A 标签则会创建失败(可选)。
操作步骤
步骤一:创建标签
进入 标签管理 > 标签列表,单击新建标签按钮。
输入标签键和标签值,单击确定即可创建成功,如创建一个部门名称为Analyze的标签,Key 可输入“department”、Value为“Analyze”。
步骤二:为标准引擎打上标签
进入 数据湖计算DLC控制台 > 标准引擎,选择相应的标准引擎进入基础配置页面,在标签选项选择标签进行绑定。详细引擎绑定标签操作可参考 计算引擎关联标签
注意:
一旦为标准引擎打上特定标签,如上述示例的“department:Analyze”,则后续只有关联了这个标签的子用户才能看到和使用此标准引擎
步骤三:创建自定义策略
1. 进入腾讯云 访问控制 CAM 控制台,选择左侧导航栏策略点击新建自定义策略,在弹出对话框选择按标签授权
2. 在自定义策略生成向导中,服务搜索选择DLC,Action 勾选全部操作 (dlc:*)。

注意:
全部操作 (dlc:*)含义是授予用户操作全部 DLC 云 API 权限,如需要限制用户不能具有标准引擎销毁、创建或修改权限,则在上述全部操作 (dlc:*)反选以下对应接口即可。
情况
需反选的 DLC 接口
无法销毁引擎
DeleteDataEngine
无法创建引擎
CreateDataEngine
无法修改引擎
UpdateDataEngine
3. 标签选择此前创建的 “department:Analyze” 标签,Condition Key 默认勾选 Resource_tag。注意是否授予不支持标签的接口 "resource": "*" 权限需要勾选“是”,如不勾选会导致关联的子用户,因无 DLC 控制台中非标签级鉴权接口的权限而无法正常访问。

说明:
如果您需要实现部门为 Analyze 的用户创建 DLC 标准引擎资源时,需要强制为新建引擎关联“department:Analyze”标签的效果,则可选择勾选request_tag。
4. 单击下一步,因涉及 DLC 接口较多,CAM 会创建多个分割子策略,您可对分割的子自定义策略填写一个方便搜索的名称,如 DLC-department-analyze-tag-policy 。在关联用户或关联用户组中选择需要关联到本自定义策略的用户/用户组,如本示例中关联所有Analyze部门的员工子账号。

5. 单击完成,即可完成自定义策略创建。成功创建上述自定义策略后,所有被关联到此自定义策略的 DLC 用户仅能访问打上 department:Analyze 标签的标准引擎。
注意:
1. 为后续用户维护方便,建议使用用户组进行关联。
2. 如关联到自定义策略的用户,已经关联过QcloudDLCFullAccess预设策略,则用户仍然会拥有所有标准引擎权限。
上一篇: 访问管理 CAM 服务下一篇: 用户和工作组

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈