承認ポリシーは、データ資産へのアクセス許可の申請や機密性の高い操作を実行するための承認ワークフローを定義します。DataWorks は、MaxCompute、Hologres、データサービス、拡張機能など、承認タイプごとに個別のポリシーリストを管理します。申請がポリシーに一致すると、DataWorks は定義された承認ワークフローを開始し、通知設定に基づいて承認者に通知します。このトピックでは、承認ポリシーモジュールの全体的な機能、アクセス方法、承認タイプのリスト、およびリストページでの一般的な操作について説明します。
承認ポリシーページへのアクセス
DataWorks では、承認ポリシーページへのアクセス方法として 2 つのエントリポイントが用意されています。
新しいデータセキュリティモジュール: DataWorks ワークスペースの左側のナビゲーションウィンドウで、[申請と承認] > [承認ポリシー] を選択します。ページ上部の [承認タイプ] ドロップダウンリストを使用して、異なるポリシーリスト間を切り替えます。
従来のデータ保護アンブレラモジュール (新しいデータセキュリティモジュールにアップグレードしていないテナント向け): [すべての製品] > [データガバナンス] > [承認センター] > [承認ポリシー管理] を選択し、左側のナビゲーションウィンドウを使用して承認タイプを切り替えます。
新しいデータセキュリティページでは、URL パラメーター (?type=...) を使用して、選択された承認タイプが反映されます。この URL を使用すると、特定のポリシーリストに直接リンクできます。
ログインしているすべてのユーザーが承認ポリシーリストを表示できます。ただし、[作成]、[表示]、[編集]、および [削除] ボタンを使用するには、DataWorks Enterprise Edition のサブスクリプションが必要です。Enterprise Edition をお持ちでない場合、これらのボタンは「Enterprise Edition へのアップグレード」リンクに置き換えられます。
承認タイプ
ページ上部の [承認タイプ] ドロップダウンリストには、最大 8 つのタイプが表示されます。表示されるオプションは、テナントで有効化されているコンピュートエンジンによって異なります。これらのうち 4 つのタイプについてはカスタムポリシーを作成できますが、残りの 4 つはシステムポリシーであり、新しいポリシーを作成することはできません。
承認タイプ | 表示条件 | 作成可能 | 関連ドキュメント |
MaxCompute | 常に表示 (デフォルトのフィルターオプション) | はい | コンピュートエンジンの承認ポリシー |
Hologres | テナントで Hologres が有効化されている場合のみ表示されます。 | はい | コンピュートエンジンの承認ポリシー |
Data Lake Formation (DLF) | テナントで Data Lake Formation (DLF) が有効化されている場合のみ表示されます。 | いいえ (システムポリシー) | 該当なし |
DLF-Legacy | テナントで DLF 1.0 が有効化されている場合のみ表示されます。 | いいえ (システムポリシー) | コンピュートエンジンの承認ポリシー (説明のみ) |
Lindorm | 常に表示 | いいえ (システムポリシー) | 該当なし |
データサービス | 常に表示 | はい | データサービスの承認ポリシー |
拡張機能 | 常に表示 | はい | 拡張機能の承認ポリシー |
データ資産ガバナンス | 常に表示 | いいえ (システムポリシー) | 該当なし |
[ポリシーの作成] ドロップダウンメニューのオプションは、リストのフィルターオプションとは異なります。ポリシーを作成できるのは、MaxCompute、Hologres、データサービス、拡張機能の 4 つのタイプのみです。その他の 4 つのタイプ (DLF-Legacy、DLF、Lindorm、データ資産ガバナンス) については、対応するメニュー項目が無効になっています。これらの項目にポインターを合わせると、「この承認タイプは新しいポリシーの作成をサポートしていません」というメッセージがツールチップに表示されます。システムポリシーは DataWorks によって事前に構成されています。テナントは、システムポリシーの表示、有効化、無効化、一致順序の調整を行うことができますが、新しいポリシーを作成することはできません。
リストページの機能
機能 | 説明 |
承認タイプによるフィルタリング | ページ上部の [承認タイプ] ドロップダウンリストを使用します。選択したフィルターは URL パラメータ |
リストの列 | リストには、一致順序、ポリシー ID、ポリシー名、承認タイプ、承認範囲、ルールの目的、ステータス、[操作] 列が含まれます。 |
ポリシー ID または名前のコピー | [ポリシー ID] または [ポリシー名] 列の値の横にあるコピーアイコンをクリックします。コピーが成功すると、トーストメッセージが表示されます。 |
ポリシーの有効化または無効化 | [ステータス] 列のスイッチを使用します。変更の確認を求められます。Enterprise Edition をお持ちでない場合、このスイッチは「Enterprise Edition へのアップグレード」ボタンに置き換えられます。 |
一致順序の調整 | 行をドラッグアンドドロップして一致順序を調整できます。システムはポリシーを上から下へ順次評価し、最初に一致したポリシーで停止します。[一致順序] 列の数値が小さいほど優先度が高くなります。この数値 (1、2、3...) は、現在のタイプの表示順序を表しており、バックエンドが使用する内部優先度値ではありません。 |
表示、編集、または削除 | [操作] 列のオプションを使用します。[削除] ボタンは、システムポリシーでは使用できません (「システムポリシーに関する特記事項」を参照)。拡張機能タイプのポリシーを削除する場合、リスク識別ルールページへ案内する特別なメッセージが表示されます。 |
[承認範囲] 列の表示ルール | システムポリシーの承認範囲が空の場合、列には [すべて] と表示されます。これは、ポリシーがすべてのデータに適用されることを意味します。ユーザーが作成したポリシーの範囲が設定されていない場合、列にはハイフン (-) が表示されます。ただし、範囲は作成フォームの必須フィールドであるため、このような状況が発生する可能性は低いです。 |
リストの制限 | リストには一度に最大 100 件のポリシーが表示され、ページネーションはありません。単一のタイプのポリシー数がこの制限を超えることが予想される場合は、Alibaba Cloud テクニカルサポートにお問い合わせください。 |
システムポリシーに関する特記事項
システムポリシーは DataWorks によって事前に構成されています。テナントは、通知チャネルと自動承認ルールのみを調整できます。ポリシー範囲や承認ノードを変更することはできません。具体的な制限は次のとおりです。
[操作] 列に [削除] ボタンは表示されません。
承認範囲が空の場合、列には [すべて] と表示されます。これは、ポリシーがすべてのデータに適用されることを意味します。
システムポリシーを編集する場合、[基本情報] セクションのポリシー名とルールの説明は読み取り専用です。
システムポリシーを編集する場合、[有効範囲] および [承認ノードの設定] セクションは表示されません。通知設定のみを調整できます。MaxCompute タイプの場合、自動承認ルールも設定できます。
承認者タイプ
システムポリシー以外のポリシーを編集する場合、各承認ノードで次の 5 つの承認者タイプのいずれかを選択できます。一部のタイプでは、システムがエンジンまたはリソースに基づいて所有者を自動的に特定します。
承認者タイプ | 説明 | 適用可能な承認タイプ |
RAM ユーザー | 特定の RAM ユーザーを承認者として割り当てます。 | すべて |
MaxCompute ロール | MaxCompute プロジェクト内のロールを承認者として割り当てます。 | MaxCompute |
テナントロール | テナント管理者などのテナントレベルのロールを承認者として割り当てます。 | すべて |
DataWorks ワークスペースロール | ワークスペース管理者などのワークスペースロールを承認者として割り当てます。 | すべて |
DataWorks ワークスペースメンバー | ロールに関係なく、ワークスペース内の任意のメンバーを承認者として割り当てます。 | すべて |
一部のシナリオでは、システムがリソース所有者を承認者として自動的に識別します。これらの場合、UI で特定の人物を割り当てることはできません。値は承認ノードのラベルとしてのみ表示されます。
テーブル/プロジェクト管理者 (MaxCompute や Hologres などのエンジンにおけるテーブルまたはプロジェクトの所有者に基づいて自動的に特定されます)。
DLF 管理者 (DLF エンジンに基づいて自動的に特定されます)。
Lindorm 管理者 (Lindorm エンジンに基づいて自動的に特定されます)。
Alibaba Cloud リソース所有者 (リソース所有者に基づいて自動的に特定されます)。
関連ドキュメント
コンピュートエンジンの承認ポリシー: MaxCompute および Hologres タイプのポリシーの作成と設定方法について説明します。有効範囲、自動承認ルール、承認ノードが含まれます。
データサービスの承認ポリシー: データサービス API を公開する前に必要な承認の設定方法について説明します。
拡張機能の承認ポリシー: 拡張機能によってトリガーされる承認について説明します。これは、[セキュリティセンター] > [リスク識別ルール] と組み合わせて使用する必要があります。