ユーザーが MaxCompute のテーブル、リソース、または関数へのアクセスをリクエストした際、DataWorks は誰がどの順序でそのリクエストをレビューするかを把握する必要があります。リクエスト処理ポリシーは、ポリシーが対象とするデータ範囲、承認者への通知チャネル、およびリクエストが通過しなければならない連続した承認チェーンを定義します。
前提条件
開始する前に、以下をご確認ください:
-
DataWorks Enterprise Edition のワークスペース
-
ワークスペースの管理者アクセス権限、または
AliyunDataWorksFullAccessポリシーがアタッチされた RAM ユーザー
リクエスト処理ポリシーの仕組み
各ポリシーは、以下の 3 つの要素を関連付けます:
| 要素 | 説明 |
|---|---|
| データ範囲 | このポリシーが管理する権限リクエストの対象となる MaxCompute プロジェクト、またはデータセキュリティガードにおけるデータカテゴリと感度レベル |
| 通知方法 | リクエストが届いた際に承認者に通知する方法 |
| 承認チェーン | 承認者の順序付けられたシーケンス。現在の承認者が承認した場合にのみ、リクエストは次の承認者に進みます。 |
データ範囲が MaxCompute プロジェクトベースのポリシーとデータセキュリティガードベースのポリシーの両方でカバーされている場合、優先度を設定してどちらのポリシーを有効にするかを制御できます。
制限事項
-
ワークスペースの管理者と
AliyunDataWorksFullAccessポリシーを持つ RAM ユーザーのみが、リクエスト処理ポリシーを作成および管理できます。 -
コンピュートエンジンデータのリクエスト処理ポリシーは、DataWorks Enterprise Edition でのみ利用可能です。
リクエスト処理ポリシーの作成
ステップ 1: 承認センターを開く
-
DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。
-
左側のナビゲーションウィンドウで、データ開発と O&M > データ開発 を選択します。ドロップダウンリストからワークスペースを選択し、データ開発へ をクリックします。
-
左上隅の
アイコンをクリックし、すべての製品 > その他 > 承認センター を選択します。 -
承認センターの左側のナビゲーションウィンドウで、ポリシー > コンピュートエンジン を選択します。ページには、既存のすべてのリクエスト処理ポリシーが一覧表示されます。このページからポリシーを編集または削除することもできます。
-
右上隅の ポリシーの作成 をクリックして、ポリシー作成ウィザードを開きます。
ステップ 2: 基本情報の入力
[ポリシー名]と[目的]に、このポリシーが対象とするビジネスシナリオの説明を入力します。
ステップ 3: データ範囲の指定
データ範囲によって、このポリシーが管理する権限リクエストが決まります。以下のいずれかのオプションを選択します。
オプション 1: MaxCompute プロジェクトによるスコープ設定
「MaxCompute プロジェクト」ドロップダウンリストから MaxCompute プロジェクトを選択します。このプロジェクト内のテーブルに対する権限要求は、このポリシーを経由してルーティングされます。
制約:
-
各 MaxCompute プロジェクトは、1 つのプロジェクトベースのポリシーにしか関連付けることができません。2 つ目のポリシーを関連付けると、競合エラーが発生します。
-
ドロップダウンリストには、現在のアカウントが Admin または Super_Administrator ロールを持つプロジェクトのみが表示されます。リストが空の場合は、そのロールを持つアカウントに切り替えてください。
説明DataWorks ワークスペースの管理者は、ワークスペース内で
role_project_adminロールが割り当てられますが、関連付けられた MaxCompute プロジェクトの Admin または Super_Administrator ロールは割り当てられません。ご自身のロールを確認するには、DataStudio ページでwhoamiを実行してアカウント情報を取得し、次にshow grants for <your_account>を実行して、Admin または Super_Administrator ロールを持っているかどうかを確認します。
オプション 2: データカテゴリと感度レベルによるスコープ設定
「[Select Data Security Level]」ドロップダウンリストから、データカテゴリおよび感度レベルを選択します。データセキュリティガードで該当する分類に一致するテーブルに対する権限リクエストは、このポリシーを経由してルーティングされます。
制約:
-
各感度レベルは、データカテゴリと感度レベルに基づくポリシーに 1 つしか関連付けることができません。2 つ目のポリシーを関連付けると、競合エラーが発生します。
-
このスコープは、Alibaba Cloud アカウントまたは RAM ユーザーを使用して設定できます。RAM ユーザーを使用する場合、次の両方の条件を満たす必要があります:
-
AdministratorAccessポリシーが RAM ユーザーにアタッチされていること。 -
AliyunDataWorksFullAccessポリシーが RAM ユーザーにアタッチされており、かつ RAM ユーザーがすべての MaxCompute プロジェクトで Project Owner または Super_Administrator ロールを持っていること。
-
ステップ 4: 通知方法の設定
DataWorks は 4 つの通知方法をサポートしています:
| 方法 | 設定に関する注記 |
|---|---|
| テキストメッセージ | DataWorks で承認者をアラート連絡先として追加します。 詳細については、「アラート連絡先の設定と表示」をご参照ください。 |
| メール | DataWorks で承認者をアラート連絡先として追加します。 詳細については、「アラート連絡先の設定と表示」をご参照ください。 |
| DingTalk チャットボット | [ロボットを追加] ダイアログボックスで、[セキュリティ設定] を [カスタムキーワード] に設定し、キーワードとして DataWorks を入力します。[セキュリティ設定] の下にある他のすべてのチェックボックスをオフにします。このステップをスキップしたり、他のチェックボックスを選択したりすると、承認者は DingTalk 通知を受信できなくなります。 |
| Webhook URL | — |
権限リクエストが送信されると、DataWorks はここで設定した方法を使用してすべての承認者に通知します。特定の承認者は次のステップで割り当てます。
ステップ 5: 承認チェーンの設定
[処理リンクの設定] ステップで、1 つ以上の承認ノードを追加します。各ノードに、承認者とロールを割り当てます。
承認順序: リクエストは順番に進みます。現在の承認者が承認した場合にのみ、次の承認者に通知されます。
1 つのノードに複数の承認者: 1 つのノードに同じロールを共有する複数の承認者がいる場合、DataWorks はその全員に通知します。いずれか 1 人が承認すれば、リクエストは次のノードに進みます。
サポートされている承認者タイプ:
| 承認者タイプ | 説明 |
|---|---|
| DataWorks ワークスペースレベルのロール | ワークスペースレベルで定義されたロール |
| DataWorks ワークスペースメンバー | 個々のワークスペースメンバー |
| テーブルオーナー | リクエストされたテーブルのオーナー |
| Alibaba Cloud アカウント | 特定の Alibaba Cloud アカウント |
| MaxCompute ロール | MaxCompute プロジェクトで定義されたロール |
テキストメッセージまたは E メール通知を受信するには、承認者をアラート連絡先として追加する必要があります。詳細については、「アラート連絡先の設定と表示」をご参照ください。
ポリシーの優先度の設定
MaxCompute プロジェクトベースのポリシーとデータセキュリティガードベースのポリシーの両方がある場合、1 つのデータ範囲が両方に一致することがあります。優先度を設定して、どちらのポリシーを優先するかを制御します。