tencent cloud

Data Lake Compute

クラウドアクセス管理(CAM)サービス

Download
フォーカスモード
フォントサイズ
最終更新日: 2026-07-16 14:19:49
DLCは完全なアクセス権限メカニズムを備えています。DLCの権限は操作権限とデータ権限に分かれています。操作権限はCAMサービスによって管理され、データ権限はDLC権限モジュールによって管理されます。
メインアカウントはデフォルトでDLCのすべての操作権限とデータ権限を持っています。
サブユーザーにDLCデータ権限管理の操作権限が付与されている場合、そのサブユーザーは他のサブユーザーにデータ権限を付与することができ、このようなユーザーは「管理者」と見なすことができます。
子ユーザーにデータの読み書き権限が付与されている場合、その子ユーザーは権限のあるデータのクエリタスクを実行でき、そのデータ権限は「管理者」によって割り当てられます。
メインアカウント以外のすべてのサブユーザーのデータ権限は「管理者」によって割り当てられます。ユーザーは権限のないデータを照会できません。
メインアカウントはデフォルトでDLCのすべての操作権限を持っています。メインアカウントはCAMを通じてDLCのアクセス権限をサブユーザーに付与し、サブユーザーが対応するDLC操作権限を持つようにします。本ドキュメントでは、主に操作権限について説明します。

CAM権限ポリシー

DLCの現在の操作権限はCAMに依存して実装されており、DLC製品が提供するプリセットポリシーと、顧客が自ら管理するカスタムポリシーという2種類の権限管理方式をサポートしています:
プリセットポリシー:
DLCは現在、2種類のプリセットポリシーを定義しています:
QcloudDLCFullAccess:データレイクコンピューティング Data Lake Compute(DLC)のフル読み書きアクセスです。このポリシーは、DLCがCAMに接続するすべてのインターフェースの読み書き権限を含みます。ユーザーは直接サブアカウントにこの権限ポリシーを付与できますが、権限が過大になる可能性があるため、慎重に操作してください。
QcloudDLCReadOnlyAccess:データレイクコンピューティング Data Lake Compute(DLC)の読み取り専用アクセス権限です。このポリシーは、DLCがCAMに接続するすべての読み取り専用インターフェースの権限を含みます。ユーザーは直接サブアカウントにこの権限ポリシーを付与できますが、いかなる変更権限も含まれません。
注意:
1. QcloudDLCFullAccessおよびQcloudDLCReadOnlyAccessが具体的に含むインターフェースは、CAM > 左側メニューのポリシー > QcloudDLCFullAccess / QcloudDLCReadOnlyAccess 詳細ページ > サービス > データレイクコンピューティング (dlc) を通じて確認できます。
2. QcloudDLCFullAccessおよびQcloudDLCReadOnlyAccessは、DLC製品自身のインターフェース権限のみを含みます。DLC製品の一部の機能は他のクラウド製品に依存して実現されており、これらの機能を使用する際には、サブアカウントに対応する製品のインターフェース権限を追加で付与する必要があります。各製品に必要な権限インターフェースおよび権限付与操作については、本ドキュメントの付録を参照してください。
CAMカスタムポリシー:
ユーザーはCAMコンソールを通じてカスタム権限ポリシーを作成し、柔軟な権限管理を実現できます。CAMは3種類のカスタムポリシー権限付与方式を提供しており、ポリシージェネレーター方式を例として、ポリシージェネレーターによるカスタムポリシーの作成を参照してください。

操作権限の分類

以下の表に示すように、DLCインターフェースに基づいてDLC操作を以下のように分類しています。詳細についてはAPIドキュメントを参照してください。
権限タイプ
説明
メタデータ管理
DLCが管理するデータベースおよびテーブルのメタデータ情報を操作します。
タスク管理
DLCタスクの提出と閲覧を行います。
権限管理
ユーザーのデータアクセス権限を管理します。
システム設定
DLCサービスの基本設定

プリセットポリシーによる権限付与操作

本フローは<サブアカウントにQcloudDLCFullAccessを付与する>を例として、操作手順は以下の通りです:
1. サブユーザーを作成します。
2. 対応するサブユーザーにQcloudDLCFullAccess権限を付与します。詳細についてはサブアカウントによるポリシー権限付与を参照してください。
3. サブユーザーはDLCコンソールにログインし、権限を検証します。サブユーザーがコンソールにログインし、データ権限付与操作を正常に実行した場合、CAM権限付与が有効になります。

カスタムポリシーによる権限付与操作

メインアカウントでDLCにアクセスする場合は、この手順をスキップできます。サブアカウントは権限付与後にDLCサービスを開始する必要があり、権限付与のフローは以下の通りです:
1. サブアカウントを作成します。操作手順についてはサブアカウントの作成と権限付与を参照してください。
2. カスタムポリシーを作成します。
Cloud Access Management (CAM)コンソールのポリシーページで、新しいカスタムポリシーをクリックして新しいポリシーを作成します。
ポップアップしたポリシー作成方法選択で、ポリシーシンタックスによる作成をクリックし、ポリシー編集ページに遷移します。
ポリシーシンタックスによる作成ページで、空白テンプレートを選択し、次へをクリックします。
テンプレートで、ポリシー名と説明を入力し(ポリシー名はDLCDataAccessにすることを推奨)、以下のコピーポリシーをポリシー内容に貼り付けます。入力が完了したら、完了をクリックすると、カスタムポリシーが正常に作成されます。このカスタムポリシーの権限を持つサブユーザーは、データレイクコンピューティングDLCコンソールにログインしてSQLタスクを実行できますが、データ権限管理を操作することはできません。
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": [
"dlc:DescribeStoreLocation",
"dlc:DescribeTable",
"dlc:DescribeViews",
"dlc:CancelTask",
"dlc:CreateDatabase",
"dlc:CreateScript",
"dlc:CreateTable",
"dlc:CreateTask",
"dlc:DeleteScript",
"dlc:DescribeDatabases",
"dlc:DescribeScripts",
"dlc:DescribeTables",
"dlc:DescribeTasks",
"dlc:DescribeQueue",
"dlc:DescribeTaskResult"
],
"resource": [
"*"
]
}
]
}
3. カスタムポリシーDLCDataAccessをDLCにアクセスするサブアカウントにバインドすると、そのサブアカウントはDLCにログインおよびアクセスできます。詳細についてはサブユーザー権限設定を参照してください。

付録

DLC製品の一部の機能は、他のクラウド製品(例:Cloud Monitor、Tagなど)に依存して実現されています。これらの機能を使用する際には、サブアカウントに対応する製品のインターフェース権限を追加で付与する必要があります。メインアカウントは必要に応じてサブアカウントに対応する操作権限を付与できます。関連する操作インターフェースは以下の表の通りです:
DLC機能ページ
その他のクラウド製品
操作
説明
データジョブ/ストレージ管理
COS
GetService
ストレージバケットリストを取得します。具体的なバケットデータの取得サポートの可否はCOS側で管理されており、詳細はサブアカウントへのCOSアクセス権限付与を参照してください。
SuperSQLエンジン > クラスタ監視
標準エンジン > クラスタ監視
リソースグループ > リソースグループ監視
TCOP(Monitor)
DescribeDashboardMetrics
Dashboard2.0のメトリクスリストをクエリします。
DescribeMonitorProductByIds
IDに基づいて監視製品リストをクエリします。
DescribeDashboardMetricData
Dashboard2.0のメトリクス監視データをクエリします。
SuperSQLエンジン
標準エンジン
ストレージ管理
Tag(TAG)
DescribeTagKeys
Tagキーをクエリします。
AttachResourcesTag
リソースへのTag一括関連付けを実行します。
DetachResourcesTag
リソースから一括関連付けされたTagを解除します。
ネットワーク接続設定/メタデータ管理
TencentDB for MySQL
DescribeDBInstances
リストをクエリします。
TencentDB for PostgreSQL
DescribeDBInstances
インスタンスリストをクエリします。
TencentDB for SQL Server
DescribeDBInstances
インスタンスリストをクエリします。
DLCコンソールページで監視に必要な権限を確認するケースを例として、メインアカウントがサブアカウントにTCOP権限を追加するフローを説明します。
1. 前提条件:サブアカウントを作成します。操作手順についてはサブアカウントの作成と権限付与を参照してください。
2. カスタムポリシーを作成します。ここではポリシージェネレーターによるカスタムポリシーの作成方式を使用し、操作フローはCAM>ポリシー>新しいカスタムポリシー>ポリシージェネレーターによる作成となります。作成の詳細は以下の図の通りです。その他の作成フローについては、CAM公式ドキュメントの説明を参照してください。
追加のインターフェース権限、ポリシー名、Tag設定、関連ユーザー/ユーザーグループ/ロールなどの内容は、必要に応じて追加設定できます。ここでは、DLCコンソールで監視表示を実現するための最小限の設定スキームのみを紹介します。
3. サブアカウントに、ステップ2で定義したポリシーを付与します。このステップは、ポリシー作成時に権限を付与するか、またはポリシー作成を完了した後、ユーザー、ユーザーグループ、ロールの権限付与ページで実行できます。

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック