DLCは完全なアクセス権限メカニズムを備えています。DLCの権限は操作権限とデータ権限に分かれています。操作権限はCAMサービスによって管理され、データ権限はDLC権限モジュールによって管理されます。
メインアカウントはデフォルトでDLCのすべての操作権限とデータ権限を持っています。
サブユーザーにDLCデータ権限管理の操作権限が付与されている場合、そのサブユーザーは他のサブユーザーにデータ権限を付与することができ、このようなユーザーは「管理者」と見なすことができます。
子ユーザーにデータの読み書き権限が付与されている場合、その子ユーザーは権限のあるデータのクエリタスクを実行でき、そのデータ権限は「管理者」によって割り当てられます。
メインアカウント以外のすべてのサブユーザーのデータ権限は「管理者」によって割り当てられます。ユーザーは権限のないデータを照会できません。
メインアカウントはデフォルトでDLCのすべての操作権限を持っています。メインアカウントはCAMを通じてDLCのアクセス権限をサブユーザーに付与し、サブユーザーが対応するDLC操作権限を持つようにします。本ドキュメントでは、主に操作権限について説明します。
CAM権限ポリシー
DLCの現在の操作権限はCAMに依存して実装されており、DLC製品が提供するプリセットポリシーと、顧客が自ら管理するカスタムポリシーという2種類の権限管理方式をサポートしています:
プリセットポリシー:
DLCは現在、2種類のプリセットポリシーを定義しています:
QcloudDLCFullAccess:データレイクコンピューティング Data Lake Compute(DLC)のフル読み書きアクセスです。このポリシーは、DLCがCAMに接続するすべてのインターフェースの読み書き権限を含みます。ユーザーは直接サブアカウントにこの権限ポリシーを付与できますが、権限が過大になる可能性があるため、慎重に操作してください。
QcloudDLCReadOnlyAccess:データレイクコンピューティング Data Lake Compute(DLC)の読み取り専用アクセス権限です。このポリシーは、DLCがCAMに接続するすべての読み取り専用インターフェースの権限を含みます。ユーザーは直接サブアカウントにこの権限ポリシーを付与できますが、いかなる変更権限も含まれません。
注意:
1. QcloudDLCFullAccessおよびQcloudDLCReadOnlyAccessが具体的に含むインターフェースは、CAM > 左側メニューのポリシー > QcloudDLCFullAccess / QcloudDLCReadOnlyAccess 詳細ページ > サービス > データレイクコンピューティング (dlc) を通じて確認できます。
2. QcloudDLCFullAccessおよびQcloudDLCReadOnlyAccessは、DLC製品自身のインターフェース権限のみを含みます。DLC製品の一部の機能は他のクラウド製品に依存して実現されており、これらの機能を使用する際には、サブアカウントに対応する製品のインターフェース権限を追加で付与する必要があります。各製品に必要な権限インターフェースおよび権限付与操作については、本ドキュメントの付録を参照してください。
CAMカスタムポリシー:
ユーザーはCAMコンソールを通じてカスタム権限ポリシーを作成し、柔軟な権限管理を実現できます。CAMは3種類のカスタムポリシー権限付与方式を提供しており、ポリシージェネレーター方式を例として、ポリシージェネレーターによるカスタムポリシーの作成を参照してください。 操作権限の分類
以下の表に示すように、DLCインターフェースに基づいてDLC操作を以下のように分類しています。詳細についてはAPIドキュメントを参照してください。 |
メタデータ管理 | DLCが管理するデータベースおよびテーブルのメタデータ情報を操作します。 |
タスク管理 | DLCタスクの提出と閲覧を行います。 |
権限管理 | ユーザーのデータアクセス権限を管理します。 |
システム設定 | DLCサービスの基本設定 |
プリセットポリシーによる権限付与操作
本フローは<サブアカウントにQcloudDLCFullAccessを付与する>を例として、操作手順は以下の通りです:
1. サブユーザーを作成します。
3. サブユーザーはDLCコンソールにログインし、権限を検証します。サブユーザーがコンソールにログインし、データ権限付与操作を正常に実行した場合、CAM権限付与が有効になります。
カスタムポリシーによる権限付与操作
メインアカウントでDLCにアクセスする場合は、この手順をスキップできます。サブアカウントは権限付与後にDLCサービスを開始する必要があり、権限付与のフローは以下の通りです:
2. カスタムポリシーを作成します。
Cloud Access Management (CAM)コンソールのポリシーページで、新しいカスタムポリシーをクリックして新しいポリシーを作成します。 ポップアップしたポリシー作成方法選択で、ポリシーシンタックスによる作成をクリックし、ポリシー編集ページに遷移します。
ポリシーシンタックスによる作成ページで、空白テンプレートを選択し、次へをクリックします。
テンプレートで、ポリシー名と説明を入力し(ポリシー名はDLCDataAccessにすることを推奨)、以下のコピーポリシーをポリシー内容に貼り付けます。入力が完了したら、完了をクリックすると、カスタムポリシーが正常に作成されます。このカスタムポリシーの権限を持つサブユーザーは、データレイクコンピューティングDLCコンソールにログインしてSQLタスクを実行できますが、データ権限管理を操作することはできません。
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": [
"dlc:DescribeStoreLocation",
"dlc:DescribeTable",
"dlc:DescribeViews",
"dlc:CancelTask",
"dlc:CreateDatabase",
"dlc:CreateScript",
"dlc:CreateTable",
"dlc:CreateTask",
"dlc:DeleteScript",
"dlc:DescribeDatabases",
"dlc:DescribeScripts",
"dlc:DescribeTables",
"dlc:DescribeTasks",
"dlc:DescribeQueue",
"dlc:DescribeTaskResult"
],
"resource": [
"*"
]
}
]
}
3. カスタムポリシーDLCDataAccessをDLCにアクセスするサブアカウントにバインドすると、そのサブアカウントはDLCにログインおよびアクセスできます。詳細についてはサブユーザー権限設定を参照してください。 付録
DLC製品の一部の機能は、他のクラウド製品(例:Cloud Monitor、Tagなど)に依存して実現されています。これらの機能を使用する際には、サブアカウントに対応する製品のインターフェース権限を追加で付与する必要があります。メインアカウントは必要に応じてサブアカウントに対応する操作権限を付与できます。関連する操作インターフェースは以下の表の通りです:
|
データジョブ/ストレージ管理 | COS | GetService | |
SuperSQLエンジン > クラスタ監視 標準エンジン > クラスタ監視 リソースグループ > リソースグループ監視 | TCOP(Monitor) | DescribeDashboardMetrics | Dashboard2.0のメトリクスリストをクエリします。 |
|
| DescribeMonitorProductByIds | IDに基づいて監視製品リストをクエリします。 |
|
| DescribeDashboardMetricData | Dashboard2.0のメトリクス監視データをクエリします。 |
SuperSQLエンジン 標準エンジン ストレージ管理 | Tag(TAG) | DescribeTagKeys | Tagキーをクエリします。 |
|
| AttachResourcesTag | リソースへのTag一括関連付けを実行します。 |
|
| DetachResourcesTag | リソースから一括関連付けされたTagを解除します。 |
ネットワーク接続設定/メタデータ管理 | TencentDB for MySQL | DescribeDBInstances | リストをクエリします。 |
| TencentDB for PostgreSQL | DescribeDBInstances | インスタンスリストをクエリします。 |
| TencentDB for SQL Server | DescribeDBInstances | インスタンスリストをクエリします。 |
DLCコンソールページで監視に必要な権限を確認するケースを例として、メインアカウントがサブアカウントにTCOP権限を追加するフローを説明します。
2. カスタムポリシーを作成します。ここではポリシージェネレーターによるカスタムポリシーの作成方式を使用し、操作フローはCAM>ポリシー>新しいカスタムポリシー>ポリシージェネレーターによる作成となります。作成の詳細は以下の図の通りです。その他の作成フローについては、CAM公式ドキュメントの説明を参照してください。 追加のインターフェース権限、ポリシー名、Tag設定、関連ユーザー/ユーザーグループ/ロールなどの内容は、必要に応じて追加設定できます。ここでは、DLCコンソールで監視表示を実現するための最小限の設定スキームのみを紹介します。
3. サブアカウントに、ステップ2で定義したポリシーを付与します。このステップは、ポリシー作成時に権限を付与するか、またはポリシー作成を完了した後、ユーザー、ユーザーグループ、ロールの権限付与ページで実行できます。