您可以自定义MaxCompute引擎的表、资源、函数的审批流程。
背景信息
您可以从MaxCompute项目维度或数据保护伞分级分类维度定义审批流程适用的数据范围,详情可参见选择配置范围。
使用限制
仅空间管理员、被授权AliyunDataWorksFullAccess的子账号有权限进行审批策略的操作。
企业版的DataWorks支持使用计算引擎审批策略。
新建审批策略
进入数据开发页面。
登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的 ,在下拉框中选择对应工作空间后单击进入数据开发。
单击左上角的图标,选择 ,进入审批中心页面。
进入审批中心页面后,在左侧导航栏选择 ,进入计算引擎的审批策略管理页面。
在计算引擎审批策略的管理页面您可以看到已创建的审批策略列表,也可在此处对其进行编辑、删除等操作。
单击页面右上角的新建审批策略,在新建审批策略页面配置审批策略信息。
填写基本信息
根据实际审批策略应用场景,填写审批策略名称和审批策略用途。
选择配置范围
您需要根据实际应用情况,框定本审批策略适用的数据范围。即本审批策略创建成功后,哪些数据的权限审批需要通过本审批策略定义的策略来申请。
对于MaxCompute计算引擎,当前支持通过两种方式来框定审批策略适用的范围:MaxCompute项目方式、数据保护伞分级分类方式。
配置范围时,您需要关注:
使用MaxCompute项目方式框定范围时
您需要在MaxCompute项目空间配置栏处选择适用的项目空间,后续选中项目空间中的表申请均会使用本策略制定的审批流程。
一个MaxCompute项目只能存在一个MaxCompute审批策略中,否则会提示权限策略冲突。
您可选择当前账号拥有Admin角色或Super_Administrator角色的MaxCompute项目空间,如果您没有在下拉框中找到需要配置的项目空间,可能是因为当前操作账号的权限不对,需要更换为有上述权限的账号进行操作配置。
说明DataWorks上的管理员角色在底层为role_project_admin角色,非MaxCompute引擎的Admin或者Super_Administrator角色。
如果您不清楚当前账号是什么角色,您可以在DataWorks的数据开发页面执行
whoami
命令,获取您的云账号信息,再执行show grants for 云账号
,查看是否有MaxCompute引擎的Admin或者Super_Administrator角色。
使用数据保护伞分级分类方式框定范围时
您需要在选择分级分类配置栏处选择使用的数据分级分类,后续选中的分级分类下的所有表的权限申请均会使用本策略制定的审批流程。
一个数据分级只能存在于一个数据保护伞分级分类策略中,否则会提示权限策略冲突。
仅支持阿里云主账号、子账号进行配置范围操作,如果使用子账号操作时,子账号需满足如下条件之一:
被授予访问控制RAM策略:AdministratorAccess。
被授予AliyunDataWorksFullAccess和所有MaxCompute项目Project Owner、Super_Administrator角色。
配置通知机制
当前支持配置短信、邮件、钉钉机器人、WebHook等通知方式。选择对应的审批通知方式后,后续有相关的审批流程时,审批任务会通过这里配置的通知方式,通知审批人有待审批的权限申请任务。
此处仅定义审批通知方式,审批人员将在下一步的配置审批节点中定义。
为保障审批人能正常通过短信、邮件收到审批任务通知,您还需要将对应角色的用户添加为DataWorks的报警联系人,操作详情可参见查看和设置报警联系人。
为保障审批人能正常通过钉钉收到审批任务通知,您还需要在钉钉机器人管理的配置中,将钉钉机器人的安全设置勾选上自定义关键词,添加关键词DataWorks,并不要勾选其他安全设置选项。
如果您没有添加DataWorks关键词,或者勾选了其他安全设置选项,将无法正常通过钉钉接收到审批通知。
配置审批节点
您可以在配置审批节点区域定义每个审批节点的审批人及角色。配置审批节点时,您需关注:
审批流程定义:配置完成后,审批流程会按照已定义的审批节点从上至下进行流转,即上一个节点审批人员审批通过后,下一个节点的审批人员才会收到审批通知并进行审批。
审批人员定义:每个节点可以选择不同的审批人类型,审批人类型支持:DataWorks空间角色、DataWorks空间成员、表责任人、阿里云主账号、MaxComputeRole。
说明后续有审批任务时,DataWorks会根据上述步骤配置通知机制中配置的通知方式,给各个审批人发送任务通知,为保障审批人能正常通过短信、邮件收到审批任务通知,您还需要将对应角色的用户添加为DataWorks的报警联系人,操作详情可参见查看和设置报警联系人。
当审批人类型对应的审批角色包含多个人员时,审批通知会发送给所有人员,仅需其中任意一个人员审批完成,审批流程即可往下流转。
设置审批策略优先级
如同时存在MaxCompute项目维度审批策略和数据保护伞分级分类维度审批策略,则可能导致同一数据范围被两个审批流程所覆盖,此时您可以在计算引擎审批策略设置页码选择优先级。