产品动态

产品简介

产品概述

产品优势

应用场景

购买指南

计费概述

退费说明

欠费说明

调整配置费用说明

快速入门

新用户开通全流程

DLC 数据导入指引

一分钟入门 DLC 数据分析

一分钟入门 DLC 权限管理

一分钟入门分区表

开启数据优化

跨源分析 EMR Hive 数据

标准引擎配置指引

配置数据访问策略

操作指南

控制台操作介绍

开发指南

运行环境

SparkJar 作业开发指南

PySpark 作业开发指南

查询性能优化指南

UDF 函数开发指南

系统约束

客户端访问

JDBC 访问

TDLC 命令行工具访问

第三方软件联动

Python 访问

实践教程

通过 Power BI 访问 DLC 数据操作指南

建表实践

使用 Apache Airflow 调度 DLC 引擎提交任务

StarRocks 直接查询 DLC 内部存储

Spark 计算成本优化实践

DATA + AI

使用 DLC 分析 CLS 日志

使用角色 SSO 访问 DLC

资源级鉴权指南

在 DLC 中实现 TCHouse-D 读写操作

DLC 原生表

SQL 语法

SuperSQL 语法

标准 Spark 语法概览

标准 Presto 语法概览

保留字

API 文档

History

Introduction

API Category

Making API Requests

Data Table APIs

Task APIs

Metadata APIs

Service Configuration APIs

Permission Management APIs

Database APIs

Data Source Connection APIs

Data Optimization APIs

Data Engine APIs

Resource Group for the Standard Engine APIs

Data Types

Error Codes

通用类参考

错误码

配额与限制

第三方软件连接DLC操作指南

常见问题

权限类常见问题

引擎类常见问题

功能类常见问题

Spark 作业类常见问题

DLC 政策

隐私协议

数据处理和安全协议

服务等级协议

联系我们

资源级鉴权指南

PDF

聚焦模式

字号

最后更新时间： 2026-01-30 16:03:10

数据湖计算 DLC 支持基于 CAM 标签的资源级鉴权，您可通过标签来进行 DLC 已有引擎资源和引擎相关 API 权限进行分类管理，从而实现对资源进行多维度分类管理以及精细化授权。
您可根据公司的部门或组织进行标签规划；例如下图，分别对部门 A/B/C 规划好对应的用户名、集群、标签等。标签相关操作请参考：标签。
﻿
﻿
﻿
基于腾讯云标签，您在 DLC 的引擎资源和引擎相关 API 权限管理中，可快速实现以下效果：
1. 批量授权：授予子用户某标签下所有资源的权限
如上图中，为属于部门 A 的所有用户，基于 resource_tag 批量授予打上了 tag_A 标签的 DLC 引擎资源及相关操作云 API 权限。
相关操作可参考 场景一：授予某个标签键下资源权限 。
2. 资源管控：创建 DLC 资源时强制绑定固定标签键值
如您希望出现部门 A 用户在创建 DLC 引擎资源时，需要强制打上部门 A 标签，从而避免出现无主公共资源、减少资源浪费，可使用强制打标签功能。
相关操作可参考场景二：创建 DLC 引擎资源时强制打标签。
说明：
您可根据业务场景需要，灵活选择并配置上述2种鉴权配置方式的一种或多种。
场景一：授予某个标签键下资源权限
操作场景
若您的公司购买了多个 DLC 计算引擎资源，资源均通过标签分组管理，希望能够授予关联某个标签键下所有资源的权限（resource_tag）。 
假设存在以下条件：
企业账号 CompanyExample 下有个子账号用户A。
企业账号 CompanyExample 下有个为 Dept_A 的标签键。
企业账号 CompanyExample 希望给子账号 用户A 授予标签键 Dept_A 的所有 DLC 引擎资源和对应云 API 操作权限。
操作步骤
1. 新建标签并为引擎打上标签
进入 标签列表页面，单击新建标签。
说明：
此处及后续流程使用标签 tag_A 举例。
﻿
﻿
﻿
输入标签键和标签值，单击确定即可创建成功。
进入DLC 控制台，进入引擎列表页，单击资源名称进入资源详情页，单击编辑按钮，弹出标签编辑窗口，选择标签进行绑定。详细引擎绑定标签操作可参考 引擎资源关联标签 。
﻿
﻿
﻿
2. 新建自定义策略
新建自定义策略 Policy_Dept_A1
进入 访问管理策略 页面，单击新建自定义策略。
选择按标签授权。
标签策略生成器，赋予用户选择 Dept_A，用户组不填，标签键和标签值选择规划好的对应标签，根据需求添加服务与操作，单击下一步即可。
新建 Policy_Dept_A1 策略，在策略内容中将“action”和“resource”字段，改为如下内容，单击完成即可。 
{
 "effect": "allow",
 "action": [
     "dlc:CreateTask",
     "dlc:CreateSparkApp"
 ],
 "resource": [
     "*"
 ],
 "condition": {
     "for_any_value:string_equal": {
             "qcs:resource_tag": [
                     "tag_A&Dept_A",
                     "tag_B&Dept_B",
                     "tag_C&Dept_C",
                     "tag_D&Dept_D"
             ]
     }
 }
}
注意：
resource 字段内容需要根据实际资源来填写，填写规则参见 资源描述方式。
3. 子用户赋权并验证
在用户列表页面找到要赋权的子用户，单击右侧的授权按钮；新建子用户请参考：新建子用户。
选择 Policy_Dept_A1，单击完成即可。
以子用户身份登录进行验证。 子用户仅能通过标签 tag_A 使用管理 test_A 的引擎资源。
场景二：创建 DLC 引擎资源时强制打标签
操作场景
若您希望您的子账号在购买 DLC 引擎资源时，只能绑定某个标签键值的权限。假设存在以下条件：
企业账号 CompanyExample 下有个子账号用户A。
企业账号 CompanyExample 下有个为 Dept_A 的标签键值。
企业账号 CompanyExample 希望子账号用户A在创建 DLC 引擎资源时，需要强制打上 Dept_A 的标签键值。
操作步骤
1. 使用企业账号 CompanyExample 登录 访问管理控制台 。
2. 在策略页面，单击新建自定义策略 > 按策略语法创建。
3. 在选择模板类型下选择空白模板，单击下一步，进入编辑策略页面。
﻿
﻿
﻿
4. 在编辑策略页面，填写下列内容：
策略名称：默认为 policygen-当前日期，推荐您自行定义一个不重复且有意义的策略名称，例如 Developer-request_tag。
描述：可选，自行编写。 
策略内容：复制以下内容并填写。
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": "dlc:CreateDataEngine",
            "resource": "*",
            "condition": {
                "for_any_value:string_equal": {
                    "qcs:request_tag": [
                        "Dept_A"
                    ]
                }
            }
        },
        {
            "effect": "allow",
            "action": "dlc:*",
            "resource": "*",
            "condition": {
                "for_any_value:string_equal": {
                    "qcs:resource_tag": [
                        "Dept_A"
                    ]
                }
            }
        }
    ]
}
说明：
通过 qcs:resource_tag 控制：可以访问所有绑定标签（Dept_A） 的资源。
通过 qcs:request_tag 控制：在创建资源的时候必须绑定标签（Dept_A）才能成功。
5. 单击完成，完成策略的创建。新建的策略将显示在策略列表页。
6. 在策略列表中搜索找到刚才已创建的策略，单击右侧操作列的关联用户/组/角色。
﻿
﻿
﻿
7. 在弹出的关联用户/用户组/角色窗口中，搜索勾选子账号 用户A，单击确定完成授权操作。 子账号 用户A 将拥有只能绑定 Dept_A 标签键值的权限。
8. 登录子账号 用户A，在不设置标签和不设置对应标签为 Dept_A 的情况下，尝试购买 DLC 计算引擎均会失败。
﻿
﻿
﻿