您可以自訂MaxCompute引擎的表、資源、函數的審批次程序。
背景資訊
您可以從MaxCompute專案維度或資料保護傘分級分類維度定義審批次程序適用的資料範圍,詳情可參見選擇配置範圍。
使用限制
僅空間管理員、被授權AliyunDataWorksFullAccess的子帳號有許可權進行審批策略的操作。
企業版的DataWorks支援使用計算引擎審批策略。
建立審批策略
進入資料開發頁面。
登入DataWorks控制台,切換至目標地區後,單擊左側導覽列的 ,在下拉框中選擇對應工作空間後單擊進入資料開發。
單擊左上方的表徵圖,選擇 ,進入核准中心頁面。
進入核准中心頁面後,在左側導覽列選擇 ,進入計算引擎的審批策略管理頁面。
在計算引擎審批策略的管理頁面您可以看到已建立的審批策略列表,也可在此處對其進行編輯、刪除等操作。
單擊頁面右上方的建立審批策略,在建立審批策略頁面配置審批策略資訊。
填寫基本資料
根據實際審批策略應用情境,填寫審批策略名稱稱和審批策略用途。
選擇配置範圍
您需要根據實際應用情況,框定本審批策略適用的資料範圍。即本審批策略建立成功後,哪些資料的許可權審批需要通過本審批策略定義的策略來申請。
對於MaxCompute計算引擎,當前支援通過兩種方式來框定審批策略適用的範圍:MaxCompute專案方式、資料保護傘分級分類方式。
配置範圍時,您需要關註:
使用MaxCompute專案方式框定範圍時
您需要在MaxCompute專案空間配置欄處選擇適用的專案空間,後續選中專案空間中的表申請均會使用本策略制定的審批次程序。
一個MaxCompute專案只能存在一個MaxCompute審批策略中,否則會提示權限原則衝突。
您可選擇當前帳號擁有Admin角色或Super_Administrator角色的MaxCompute專案空間,如果您沒有在下拉框中找到需要配置的專案空間,可能是因為當前操作帳號的許可權不對,需要更換為有上述許可權的帳號進行操作配置。
說明DataWorks上的管理員角色在底層為role_project_admin角色,非MaxCompute引擎的Admin或者Super_Administrator角色。
如果您不清楚當前帳號是什麼角色,您可以在DataWorks的資料開發頁面執行
whoami
命令,擷取您的雲帳號資訊,再執行show grants for 雲帳號
,查看是否有MaxCompute引擎的Admin或者Super_Administrator角色。
使用資料保護傘分級分類方式框定範圍時
您需要在選擇分級分類配置欄處選擇使用的資料分級分類,後續選中的分級分類下的所有表的許可權申請均會使用本策略制定的審批次程序。
一個資料分級只能存在於一個資料保護傘分級分類策略中,否則會提示權限原則衝突。
僅支援阿里雲主帳號、子帳號進行配置範圍操作,如果使用子帳號操作時,子帳號需滿足如下條件之一:
被授予存取控制RAM策略:AdministratorAccess。
被授予AliyunDataWorksFullAccess和所有MaxCompute專案Project Owner、Super_Administrator角色。
配置通知機制
當前支援配置簡訊、郵件、DingTalk機器人、WebHook等通知方式。選擇對應的審批通知方式後,後續有相關的審批次程序時,審批任務會通過這裡配置的通知方式,通知審批人有待審批的許可權申請任務。
此處僅定義審批通知方式,審批人員將在下一步的配置審批節點中定義。
為保障審批人能正常通過簡訊、郵件收到審批任務通知,您還需要將對應角色的使用者添加為DataWorks的警示連絡人,操作詳情可參見查看和設定警示連絡人。
為保障審批人能正常通過DingTalk收到審批任務通知,您還需要在DingTalk機器人管理的配置中,將DingTalk機器人的安全設定勾選上自訂關鍵詞,添加關鍵詞DataWorks,並不要勾選其他安全設定選項。
如果您沒有添加DataWorks關鍵詞,或者勾選了其他安全設定選項,將無法正常通過DingTalk接收到審批通知。
配置審批節點
您可以在配置審批節點地區定義每個審批節點的審批人及角色。配置審批節點時,您需關註:
審批次程序定義:配置完成後,審批次程序會按照已定義的審批節點從上至下進行流轉,即上一個節點審批人員審批通過後,下一個節點的審批人員才會收到審批通知並進行審批。
審批人員定義:每個節點可以選擇不同的審批人類型,審批人類型支援:DataWorks空間角色、DataWorks空間成員、表責任人、阿里雲主帳號、MaxComputeRole。
說明後續有審批任務時,DataWorks會根據上述步驟配置通知機制中配置的通知方式,給各個審批人發送任務通知,為保障審批人能正常通過簡訊、郵件收到審批任務通知,您還需要將對應角色的使用者添加為DataWorks的警示連絡人,操作詳情可參見查看和設定警示連絡人。
當審批人類型對應的審批角色包含多個人員時,審批通知會發送給所有人員,僅需其中任意一個人員審批完成,審批次程序即可往下流轉。
設定審批策略優先順序
如同時存在MaxCompute專案維度審批策略和資料保護傘分級分類維度審批策略,則可能導致同一資料範圍被兩個審批次程序所覆蓋,此時您可以在計算引擎審批原則設定頁碼選擇優先順序。