データレイクコンピューティング(DLC)は、完全なデータアクセス権限メカニズムを備えており、DLCの権限は操作権限とデータ権限に分かれています。操作権限はクラウドアクセス管理(CAM)サービスによって管理され、データ権限はDLC権限モジュールによって管理されます。
メインアカウントはデフォルトでDLCのすべての操作権限とデータ権限を持っています。
サブユーザーにDLCデータ権限管理の操作権限が付与されている場合、そのサブユーザーは他のサブユーザーにデータ権限を付与することができ、このようなユーザーは「管理者」と見なすことができます。
子ユーザーにデータの読み書き権限が付与されている場合、その子ユーザーは権限のあるデータのクエリタスクを実行でき、そのデータ権限は「管理者」によって割り当てられます。
メインアカウント以外のすべてのサブユーザーのデータ権限は「管理者」によって割り当てられます。ユーザーは権限のないデータを照会できません。
メインアカウントはデフォルトでDLCのすべての操作権限を持っています。メインアカウントはクラウドアクセス管理(CAM)を通じてDLCのアクセス権限をサブユーザーに付与し、サブユーザーが対応するDLC操作権限を持つようにします。
操作手順
1. サブユーザーを作成して権限を付与
CAMコンソールでサブユーザーを作成し、対応する権限を付与します。詳細はサブアカウント権限付与をご参照ください。 プリセットポリシー QcloudDLCFullAccess:DLCのすべての操作権限。
カスタムポリシー:DLCの指定された操作権限。
2. サブユーザーがデータレイクコンピューティング DLC コンソールにログインし、権限を検証します。
サブユーザーがコンソールにログインして権限付与操作を正常に実行した場合、権限付与が有効になります。
操作権限分類
以下の表に示すように、DLCインターフェースに従って、DLC操作を以下のように分類します。
|
| DLC が管理するデータベースとテーブルのメタデータ情報を操作する |
| |
| |
| |
サブアカウントの権限付与
メインアカウントでデータレイクコンピューティング(DLC)にアクセスする場合は、この手順をスキップできます。
2. カスタムポリシーを作成します。
Cloud Access Management (CAM)コンソールのポリシーページで、新しいカスタムポリシーをクリックして新しいポリシーを作成します。 ポップアップしたポリシー作成方法選択で、ポリシーシンタックスによる作成をクリックし、ポリシー編集ページに遷移します。
ポリシーシンタックスによる作成ページで、空白テンプレートを選択し、次へをクリックします。
テンプレートで、ポリシー名と説明を入力し(ポリシー名はDLCDataAccessにすることを推奨)、以下のコピーポリシーをポリシー内容に貼り付けます。入力が完了したら、完了をクリックすると、カスタムポリシーが正常に作成されます。このカスタムポリシーの権限を持つサブユーザーは、データレイクコンピューティングDLCコンソールにログインしてSQLタスクを実行できますが、データ権限管理を操作することはできません。
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": [
"dlc:DescribeStoreLocation",
"dlc:DescribeTable",
"dlc:DescribeViews",
"dlc:CancelTask",
"dlc:CreateDatabase",
"dlc:CreateScript",
"dlc:CreateTable",
"dlc:CreateTask",
"dlc:DeleteScript",
"dlc:DescribeDatabases",
"dlc:DescribeScripts",
"dlc:DescribeTables",
"dlc:DescribeTasks",
"dlc:DescribeQueue"
],
"resource": [
"*"
]
}
]
}
3. プリセットポリシーまたはカスタムポリシーをデータレイクコンピューティング DLC にアクセスするサブアカウントにバインドすると、そのサブアカウントはデータレイクコンピューティング DLC にログインしてアクセスできます。詳細は サブユーザー権限設定 をご参照ください。 プリセットポリシー:QcloudDLCFullAccess。
カスタムポリシー:上記の手順に従ってカスタム作成されたデータレイクコンピューティング DLC アクセスポリシー。