プロダクト概要
製品の強み
適用シーン
新規ユーザー開通フルプロセス
データレイクコンピューティング DLC を使用するには、Tencent Cloud のメインアカウントまたは DLC 管理者が使用地域の初期設定と権限設定を事前に構成しておく必要があります。その後、正式に使用できます。
不必要なエラーを避けるため、DLC の一般ユーザーは管理者が設定を完了した後に使用することをお勧めします。
メインアカウントでDLCデータレイクサービスを開通する(操作アカウントはTencent Cloudのメインアカウントである必要があります)
1. データレイクコンピューティング DLC コンソールに進み、アクセス管理を検索します。
2. CAMをクリックします。
3. DLCデータレイクサービスの開通を承認します。
4. ロール管理で、認可に同意をクリックします。
メインアカウントでTencent Cloudのサブアカウントを作成し、DLCサービスポリシーを追加する(操作アカウントはTencent Cloudのメインアカウントである必要があります)
複数のアカウントで製品を共同利用する必要がある場合は、以下の操作手順に従って開通できます:
Tencent Cloudサブアカウント作成
DLCサービスポリシー QcloudDLCFullAccess を追加
1. アクセス管理のユーザーリスト ページで、権限を付与するユーザーを選択します。
2. 付与をクリックします。
3. ポップアップウィンドウで DLC を入力し、QcloudDLCFullAccess を選択します。
サブアカウントをDLCユーザーとして追加
注意:
操作権限:初回追加はTencent Cloudのメインアカウントで行う必要があり、その後はメインアカウントが追加したDLC管理者が操作できます。
1. データ計算 DLC の権限管理に進み、ユーザーと権限管理機能をクリックし、ユーザーの追加を選択します。
2. 追加するユーザーIDを選択し、ユーザータイプを指定します。
DLCアカウントタイプと権限範囲:
権限&操作 | DLC管理者 | 一般ユーザー |
データ権限 | すべての権限 | デフォルトなし、DLC管理者によって承認されます |
データエンジン権限 | すべての権限 | デフォルトなし、DLC管理者によって承認されます |
ユーザー管理 | 実行可能 | 操作不可 |
ワークグループ管理 | 実行可能 | 操作不可 |
権限範囲 | すべての権限 | 権限で付与可能な権限 |
追加失敗の理由
1. 重複追加:このアカウントはすでにDLCユーザーとして追加されています。
2. アカウント入力エラー:このアカウントが正しく入力されているかどうかを確認してください。
DLC管理者を追加
注意:
操作権限:初回追加はTencent Cloudのメインアカウントで行う必要があり、その後はメインアカウントが追加したDLC管理者が操作できます。
追加方法は前章(アカウントをDLCユーザーとして追加)と同じで、ユーザータイプを選択する際にDLC管理者を選択します。
DLC管理者タイプと管理範囲:
管理者タイプ | 管理可能なプラットフォーム | Tencent Cloudサブアカウント作成 | DLCポリシーの追加 | Tencent CloudサブアカウントをDLCユーザーとして追加 | DLCの計算とデータ権限の使用 |
メインアカウント(owner) | アクセス管理 CAM/データレイクコンピューティング DLC | 許可 | 許可 | 許可 | 許可 |
DLC管理者 | データレイクコンピューティング DLC | 許可していません | 許可していません | 許可 | 許可 |
設定結果の保存場所
注意:
操作権限:メインアカウントまたはDLC管理者によって設定されます。
データレイクコンピューティング DLC ストレージ設定機能に入ると、概要ページまたはストレージ設定ページで設定できます。設定が完了すると、クエリ結果はこの COS パス下または DLC の管理ストレージに保存されます。
機能説明:
1. DLC 内部ストレージ:SELECTクエリ結果をDLC製品内のストレージスペースに保存します。ストレージの基盤はオブジェクトストレージです。結果の保存有効期間は36時間です。
2. ユーザーストレージ:SELECTクエリ結果をCOS上のバケットパスに保存します。ここで注意すべきは、COS関連の権限が既に開通されているかどうかを確認してください。
3. メタデータ加速バケット:現在のリージョンにおいて、クエリ分析のパフォーマンスをより向上させることができます。
4. 内部テーブルは直接オンにできますが、外部テーブルはエンジンの権限がオンを許可しているかどうかを確認する必要があります。
ご注意ください:共有エンジンはメタデータ加速バケットにバインドできません。ユーザーがユーザーストレージパスを選択する場合、専有エンジンはメタデータ加速バケットをバインドした後、クエリを実行して初めて有効になります。
エンジンを購入
注意:
操作権限:メインアカウントまたは財務権限を持つアカウントで購入します。
業務シナリオの要件に応じて、さまざまなタイプのエンジンを購入して使用することができます。エンジンには標準エンジンとSuperSQLエンジンの2種類があります。両者の違いは、サポートするSQL構文が異なることで、標準エンジンはネイティブの構文と動作をサポートし、SuperSQLエンジンはDLC独自開発のSuperSQL構文をサポートしています。
1. 購入方法:エンジン管理画面に入ります。
2. リソース作成をクリックします。
説明:
1. エンジンは標準エンジンとSuperSQLエンジンに分かれます。両者の違いは以下の通りです:サポートするSQL構文が異なり、標準エンジンはネイティブの構文と動作をサポートし、SuperSQLエンジンはDLC独自開発のSuperSQL構文をサポートします。
2. エンジン仕様の購入に関する推奨事項:16CUのクラスター規模は小さいため、テストシナリオでのみ使用することを推奨します。実際の本番環境では64CU以上の仕様のクラスターを選択することをお勧めします。
標準エンジンの権限管理
注意:
操作権限:メインアカウントまたはDLC管理者によって設定されます。
DLC標準エンジンの権限はTencent Cloudのアクセス管理CAMによって制御されています。子アカウントがDLC標準エンジンをスムーズに利用できるようにするため、メインアカウントは子アカウントに権限を付与する必要があります。標準エンジン作成後、QcloudDLCFullAccess(データレイクコンピューティングData Lake Compute(DLC)のフル読み書きアクセス)ポリシーを持つすべての子ユーザーは、標準エンジンの使用、管理、監視権限を持ちます。AユーザーがAエンジンの権限のみを持つなど、標準エンジンの権限を詳細に管理する必要がある場合は、カスタムポリシーを作成することで実現できます。
状況 | 操作手順 |
状況一:子アカウントはすべての標準エンジン権限を持っています | サブアカウントにQcloudDLCFullAccessプリセットポリシーを関連付けます |
ケース2:サブアカウントは標準エンジンの一部の権限を持っています | カスタムポリシーの作成 |
子ユーザーにすべての標準エンジン権限を付与する
メインアカウントまたはCAM操作権限を持つサブアカウントでログイン後、サブアカウントリストから該当するサブアカウントを見つけ、操作列の「権限付与」をクリックし、QcloudDLCFullAccessを検索して選択し、「確定」をクリックします。
子ユーザーに一部の標準エンジン権限を付与する
データレイクコンピューティング DLC は、CAM タグに基づくリソースレベルの認証をサポートしており、タグを使用して DLC の既存の標準エンジンリソースとエンジン関連 API 権限を分類管理し、リソースの多次元分類管理と詳細な権限付与を実現できます。Tencent Cloud タグに関する詳細は、Tencent Cloud タグを参照してください。
Tencent Cloudタグに基づいて、DLCの標準エンジンリソースで以下の効果を迅速に実現できます:
部門Aのすべてのユーザーは、部門Aタグが付けられた標準エンジンリソースのみを使用でき、他のタグが付けられた標準エンジンは使用できません。
部門AのユーザーがDLC標準エンジンリソースを作成する際、部門Aタグを強制的に付ける必要があります。タグを付けない場合や部門A以外のタグを付けた場合、作成は失敗します(オプション)。
操作手順
手順1:ラベルを作成
1. タグ管理に進み、「新しいタグ」をクリックします。
2. タグキーとタグ値を入力し、[確定]をクリックすると作成が成功します。例えば、部門名がAnalyzeのタグを作成する場合、Keyに「department」、Valueに「Analyze」と入力します。
手順二:標準エンジンにタグを付けます
注意:
標準エンジンに「department:Analyze」などの特定のタグを付けると、後続では同じタグに関連付けられたユーザーのみがこの標準エンジンを使用および管理できます。
手順三:カスタムポリシーの作成
1. Tencent Cloudの アクセス制御 CAMコンソール に進みます。
2. カスタムポリシー作成をクリックし、ポップアップダイアログでタグによる作成を選択します。
3. カスタムポリシー生成ウィザードで、サービス検索にDLCを選択し、Actionで「All actions (dlc:*)」にチェックを入れます。
説明:
ユーザーが標準エンジンの破棄、作成、または変更の権限を持たないように制限する必要がある場合は、上記のALL actionsで以下の対応するインターフェースの選択を解除してください。
状況 | DLCインターフェースの選択を解除する必要があります |
エンジンを破棄できません | DeleteDataEngine |
エンジンを作成できません | CreateDataEngine |
エンジンを変更できません | UpdateDataEngine |
4. 作成済みのタグを選択します。上記のタグ作成例に従うと、以前作成した「department:Analyze」タグを選択し、Condition KeyはデフォルトでResource_tagにチェックが入ります。
部門がAnalyzeのユーザーがDLC標準エンジンリソースを作成する際に、新規エンジンに「department:Analyze」タグを強制的に関連付ける必要がある場合は、request_tagを選択してチェックを入れることができます。request_tagの詳細な紹介と使用方法については、ドキュメントリソース作成時に固定タグのキー値を強制的にバインドするを参照してください。
5. 次へをクリックすると、CAMは複数の分割サブポリシーを作成します。分割されたサブポリシーには、「DLC-department-analyze-tag-policy」など、検索しやすい名前を付けることができます。ユーザーまたはユーザーグループの関連付けで、このカスタムポリシーに関連付ける必要があるユーザー/ユーザーグループを選択します。この例では、Analyze部門のすべての従業員サブアカウントを関連付けます。
6. 完了をクリックすると、カスタムポリシーの作成が完了します。上記のカスタムポリシーが正常に作成されると、このカスタムポリシーに関連付けられたすべてのDLCユーザーは「department:Analyze」タグが付けられた標準エンジンにのみアクセスできます。
注意:
1. 今後のユーザー管理を容易にするため、ユーザーグループを使用して関連付けることをお勧めします。
2. カスタムポリシーに関連付けられているユーザーが、すでにQcloudDLCFullAccessプリセットポリシーに関連付けられている場合、ユーザーは引き続きすべての標準エンジン権限を持ちます。
SuperSQLエンジン権限管理
注意:
操作権限:メインアカウントまたはDLC管理者によって設定されます。
エンジン操作クラスの権限自動付与(SuperSQLエンジンのみサポート)
データレイクコンピューティング DLC は、デフォルトで SuperSQL エンジン操作クラスの権限を有効にすることをサポートしています。有効にすると、すべてのユーザーがデフォルトでこのエンジンの以下の権限を持ちます:
使用:このエンジンを使用してタスクを実行します。
操作:エンジンの一時停止、中断を操作します。
監視:エンジンの使用状況を監視し、運用・保守を行います。
注意:
1. 閉じた後、管理者はデフォルトでエンジンの各権限を引き続き保有し、一般ユーザーは管理者が権限管理ページで権限を追加する必要があります。
2. 既存の一般ユーザーが保有する権限は影響を受けず、権限管理ページで削除できます。
3. 今後新規作成される一般ユーザーは使用権限がなく、権限管理ページで手動で追加する必要があります。
自動的にエンジン権限を許可する機能を有効または無効にする方法
エンジンのデフォルトでオン/オフ操作クラスの権限エントリは2つあります:
入口1:エンジン購入ページ > 高度な設定項目。
エンジン権限を設定した後、確定をクリックします。
DLCでSuperSQLエンジン権限をサブアカウントに付与します
ユーザーまたはワークグループを作成した後、リストの権限操作をクリックして、ワークグループに権限を追加します。
DLC データエンジンは、SuperSQL エンジンと標準エンジンの2種類に分かれています。詳細な違いと適用シナリオについては、データエンジンを参照してください。以前にリリースされたSuperSQL エンジンの権限はDLCコンソールで管理され、DLC コンソール > 権限管理でSuperSQLエンジンの権限を迅速に管理できます。一方、標準エンジンの権限管理はTencent Cloud Access Management CAMによって一元管理されており、標準エンジンの権限管理についてはDLC 権限概要を参照してください。
SuperSQLエンジンに関しては、ユーザーまたはワークグループの使用シナリオに応じて、DLCコンソール > 権限管理 > エンジン権限でエンジンの権限ポリシーを選択できます。
説明:
使用:このエンジンを使用してタスクを実行します。
変更:エンジンの構成パラメータを変更します。例えば、エンジンの仕様変更など。
操作:エンジンの一時停止、中断を操作します。
監視:エンジンの使用状況を監視し、運用・保守を行います。
削除:エンジンを削除します。
許可可能:チェックすると、このサブユーザーまたはワークグループのすべてのメンバーがエンジンに対する権限付与の権限を持ちます。
データ権限管理
注意:
操作権限:メインアカウントまたはDLC管理者によって設定されます。
データレイクコンピューティング DLC データ権限、以下を含む:
データカタログ権限
DataLakeCatalogディレクトリ内のデータベース作成権限、およびその他のデータカタログの作成権限。
権限範囲:
1. ユーザーまたはワークグループがDataLakeCatalogでデータベースを作成することを許可しますか。
2. ユーザーまたはワークグループが他のデータカタログを作成することを許可しますか。
データベーステーブル権限
データベース、データテーブル、ビュー、関数などの権限設定。
権限範囲:
権限タイプ | データベース | データテーブル | ビューと関数 |
クエリ分析権限 | データベース内のすべてのテーブル、ビュー、関数に対するクエリ権限。 データベーステーブルを作成する権限。 | クエリ | クエリ |
データ編集権限 | ライブラリの変更、削除、テーブル作成権限。 すべてのテーブル、ビュー、関数に対するすべての権限。 | データの照会、挿入、更新、削除。 テーブルの変更、削除。 | 照会、作成、変更、削除 |
所有者権限(データ編集権限に加えて、権限を再付与することができます。) | ライブラリの変更、削除、テーブルの作成。 すべてのテーブル、ビュー、関数に対するすべての権限。 | データの照会、挿入、更新、削除。 テーブルの変更、削除。 | 照会、作成、変更、削除 |
データベーステーブルの高度な権限設定
単一のデータベースを選択すると、その下のテーブル、ビュー、関数の照会、挿入、更新、削除を引き続き設定できます。複数のデータベースを選択した場合、データベースの権限のみを設定します。
高度なモードでは、列レベルでの権限設定がサポートされています。単一のデータテーブルを選択し、列のクエリ権限を追加できます。1つまたは複数の列を選択するか、すべての列を選択して権限を付与することが可能です。
行レベル権限
データベーステーブルの権限に加えて、行レベルフィルタ式を追加し、アクセス範囲を制限します。
DLCユーザー管理
注意:
操作権限:メインアカウントまたはDLC管理者によって設定されます
ユーザー権限を変更します
ユーザー権限を参照する
ユーザーリストのユーザーIDをクリックすると、ユーザー詳細ページを表示します。
ユーザー権限を削除する
ワークグループ管理
注意:
操作権限:メインアカウントまたはDLC管理者によって設定されます
より良い統一管理と管理者の管理コスト削減のため、ワークグループを作成してユーザーを一括追加し、統一的な権限付与方式で管理します。
ワークグループの作成
ワークグループへのユーザー追加
追加方法1:ユーザー追加時に「既存の作業グループにバインド」にチェックを入れて操作を完了します。
追加方法2:ワークグループページから、編集をクリックして追加します。
追加方法3:ワークグループ作成時にユーザーを追加する。
ワークグループへの権限追加
ワークグループページから編集追加をクリックします。
ワークグループのメンバーまたは権限を編集
ワークグループページから編集をクリックして管理します。
ワークグループを削除する
ワークグループページから削除をクリックします。
設定データアクセスポリシー
データアクセスポリシー(CAMロールarn)は、データジョブの実行中にアクセスするデータソースおよびオブジェクトストレージCOS上のデータのセキュリティを保護するために、ユーザーがアクセス管理(CAM)上でデータアクセス権限を設定するポリシーです。
データレイクコンピューティング DLC でデータジョブの業務シナリオがある場合、データセキュリティを確保するために、対応するデータアクセスポリシーを指定する必要があります。設定手順については、設定データアクセスポリシーを参照してください。
よくあるご質問
ユーザーを追加する際に、なぜ追加失敗と表示されるのですか?
1. 重複追加:このアカウントはすでにDLCユーザーとして追加されているかどうかを確認してください。
2. アカウント入力エラー:このアカウントが正しく入力されているかどうかを確認してください。
DLCにアクセスすると機能が利用できない、または権限がないと表示されるのはなぜですか?
あなたのアカウントは一時的にDLCユーザーとして追加されていないか、管理者がまだあなたのアカウントに権限を設定していない可能性があります。管理者に連絡して追加設定を依頼してください。
DLCの使用中、メインアカウントでしか操作できないことは何ですか?
メインアカウントは、DLCサービスの開通、Tencent Cloudサブアカウントの作成、サブアカウントへのQcloudDLCFullAccessポリシーの付与、DLCの最初の管理者の指定、財務権限の付与を行う必要があります。
ユーザーの権限とワークグループの権限が一致していません。権限はどのように判定されますか?
ユーザーとワークグループの権限の和集合を取得します。
フィードバック