用户与角色管理

最近更新时间:2026-06-17 14:06:00

我的收藏
本文介绍如何对腾讯云多模态智能数据湖 TCLake 中的用户与角色进行管理,包括同步用户、为用户授权、新建角色、为角色赋予用户、为角色授权、删除角色等操作。

前置条件

TCLake 的用户与权限管理涉及两类角色,分别对应不同的前置条件:

操作人

操作人指通过控制台或云 API 执行用户管理与授权操作的 CAM 身份,需同时具备以下两项权限:
云 API 权限:在腾讯云访问管理 CAM 控制台,为操作人所属的 CAM 用户或 CAM 角色关联 TCLake 云 API 权限策略,授予调用 TCLake 控制台与云 API 的权限。详情请参见 权限管理概述
TCLake 数据权限:操作人需为 TCLake 内置 Admin 角色,或对目标资源持有 Grant 权限。详情请参见 数据权限管理

被授权对象

被授权对象指接收数据权限的目标 TCLake 用户或 TCLake 角色,其中 TCLake 用户需完成同步。
同步 TCLake 用户:在 TCLake 控制台将 CAM 用户或 CAM 角色同步为 TCLake 用户,作为数据权限的授予对象。
完成上述准备后,操作人可通过以下两种方式为 TCLake 用户授予数据权限:
直接授权(IBAC):直接为 TCLake 用户授予数据权限。
角色授权(RBAC):将 TCLake 用户加入角色,通过角色批量授予数据权限。

用户管理

查看用户列表

1. 登录 多模态智能数据湖 TCLake 控制台,选择服务所在地域。
2. 在左侧导航栏选择 权限与安全 > 权限管理 > 用户
3. 用户页签单击同步,系统会自动同步当前主账号下所有 CAM 用户(包括子账号、协作者)与 CAM 角色,统一管理为 TCLake 用户。
说明:
如果某个 CAM 用户或 CAM 角色在 CAM 侧被删除,其在 TCLake 侧也会被同步删除。

为用户授权

为已同步的 TCLake 用户直接授予数据权限(IBAC)。
1. 登录 多模态智能数据湖 TCLake 控制台,选择服务所在地域。
2. 在左侧导航栏选择权限与安全 > 权限管理 > 用户
3. 用户 页签找到目标用户,单击操作列的管理权限
4. 管理权限面板中单击添加权限 ,选择授权资源(Catalog/Schema/Table/Volume/Model)和权限点,单击确定
说明:
不同资源类型支持的预置权限与权限点详情请参见 数据权限管理

角色管理

内置角色

TCLake 提供以下内置角色,开箱即用,不支持删除或修改。
角色名称
角色描述
角色说明
Admin
数据湖管理员
拥有 TCLake 中所有的数据权限及授权权限,可新建自定义角色、新建 Catalog
AllAccountUsers
全体 TCLake 用户
自动包含当前主账号下所有 TCLake 用户。授权给 AllAccountUsers 即等同于授权给主账号下所有 TCLake 用户,常用于公共数据集的全员只读授权
说明:
1. 首次开通 TCLake 的用户和主账号默认为当前地域的 Admin
2. AllAccountUsers 由系统自动维护,无需手动添加成员;新增的 TCLake 用户会自动加入。
3. 建议优先创建自定义角色进行细粒度管理,实现高效的批量用户授权。

新建角色

1. 登录 多模态智能数据湖 TCLake 控制台,选择服务所在地域,登录用户需要是 Admin 或拥有创建角色权限的用户。
2. 在左侧导航栏选择权限与安全 > 权限管理 > 角色
3. 角色页面单击创建角色
4. 创建角色面板中输入角色名称,单击确定
配置项
说明
角色名称
仅支持中文、英文、数字、_和-,主账号下唯一
描述
可选,最长 256 个字符

将角色赋予给用户

1. 登录 多模态智能数据湖 TCLake 控制台,选择服务所在地域。
2. 在左侧导航栏选择权限与安全 > 权限管理 > 角色
3. 角色页面单击目标角色操作列的管理成员
4. 成员列表面板中单击添加成员,选择已有的 TCLake 用户。
5. 单击确定

为角色授权

为 TCLake 角色批量授予数据权限(RBAC),角色下所有成员将继承该权限。
1. 登录 多模态智能数据湖 TCLake 控制台,选择服务所在地域。
2. 在左侧导航栏选择权限与安全 > 权限管理 > 角色
3. 角色页面找到目标角色,单击操作列的管理权限
4. 角色权限 面板中单击添加权限 ,选择授权资源(Catalog/Schema/Table/Volume/Model)和权限点,单击确定
说明:
不同资源类型支持的预置权限与权限点详情请参见 数据权限管理

删除角色

1. 登录 多模态智能数据湖 TCLake 控制台,选择服务所在地域。
2. 在左侧导航栏选择权限与安全 > 权限管理 > 角色
3. 角色页面单击目标角色操作列的删除
4. 在弹出的对话框中单击确定
说明:
AdminAllAccountUsers 两个内置角色不支持删除操作。
5. 在弹出的对话框中单击确定