MaxCompute のテーブル、リソース、および関数に対するリクエスト処理手順をカスタマイズできます。
背景情報
[maxcomputeプロジェクト] または [data Security Guard のデータのカテゴリと機密レベル] に基づいて、リクエスト処理手順が適用されるデータ範囲を指定できます。 詳細については、このトピックの 「データ範囲の指定」 セクションをご参照ください。
制限事項
ワークスペース管理者と、AliyunDataWorksFullAccess ポリシーがアタッチされている RAM ユーザーのみが、リクエスト処理ポリシーを作成および管理できます。
DataWorks Enterprise Edition のみで、コンピューティングエンジンデータのリクエスト処理ポリシーを設定できます。
リクエスト処理ポリシーの作成
DataStudio ページに移動します。
DataWorksコンソール にログオンします。 上部のナビゲーションバーで、目的のリージョンを選択します。 左側のナビゲーションペインで、 を選択します。 表示されるページで、ドロップダウンリストから目的のワークスペースを選択し、[データ開発に移動] をクリックします。
左上隅にある
アイコンをクリックし、 を選択します。承認センターページの左側のナビゲーションペインで、 を選択します。
表示されるページで、作成されたリクエスト処理ポリシーのリストを表示し、リクエスト処理ポリシーを編集および削除できます。
右上隅にある [ポリシーの作成] をクリックし、ポリシーの作成ウィザードでパラメーターを設定します。
基本情報の入力
リクエスト処理ポリシーが適用されるビジネスシナリオに基づいて、[ポリシー名] パラメーターと [目的] パラメーターを設定します。
データ範囲の指定
ビジネスシナリオに基づいて、リクエスト処理ポリシーが適用されるデータ範囲を指定する必要があります。 リクエスト処理ポリシーが作成されると、このデータ範囲のデータに対する権限のリクエストは、このリクエスト処理ポリシーに基づいて処理される必要があります。
MaxCompute コンピューティングエンジンが使用されている場合、MaxCompute プロジェクトまたは Data Security Guard のデータのカテゴリと機密レベルに基づいて、ワークスペース内のリクエスト処理ポリシーのデータ範囲を指定できます。
データ範囲を指定する場合は、次の項目に注意してください。
MaxCompute プロジェクトに基づいてデータ範囲を指定する
[maxcomputeプロジェクト] ドロップダウンリストから適切な MaxCompute プロジェクトを選択する必要があります。 これにより、この MaxCompute プロジェクトのテーブルに対する権限のリクエストが送信されると、このリクエスト処理ポリシーを使用してリクエストが処理されます。
MaxCompute プロジェクトは、1 つの MaxCompute プロジェクトベースのリクエスト処理ポリシーにのみ関連付けることができます。 そうしないと、ポリシーの競合エラーが報告されます。
現在のアカウントが管理者またはスーパー管理者ロールを担う MaxCompute プロジェクトを選択できます。 ドロップダウンリストに MaxCompute プロジェクトが表示されない場合、現在のアカウントに必要な権限がない可能性があります。 この場合、管理者または Super_Administrator ロールが割り当てられているアカウントを使用する必要があります。
説明DataWorks 管理者には、DataWorks ワークスペースで role_project_admin ロールが割り当てられますが、DataWorks ワークスペースに関連付ける MaxCompute プロジェクトでは管理者または Super_Administrator ロールは割り当てられません。
現在のアカウントのロールを確認するには、DataWorks の DataStudio ページで
whoamiコマンドを実行してアカウント情報を取得します。 次に、show grants for Your current accountコマンドを実行して、現在のアカウントに MaxCompute プロジェクトで管理者または Super_Administrator ロールが割り当てられているかどうかを確認します。/*現在のアカウントのロールを確認するには、DataWorksのDataStudioページで`whoami`コマンドを実行してアカウント情報を取得します。次に、`show grants for 現在のアカウント`コマンドを実行して、現在のアカウントにMaxComputeプロジェクトでAdminまたはSuper_Administratorロールが割り当てられているかどうかを確認します。*/
Data Security Guard のデータのカテゴリと機密レベルに基づいてデータ範囲を指定する
[データセキュリティレベルの選択] ドロップダウンリストからデータのカテゴリと機密レベルを選択する必要があります。 これにより、選択したデータカテゴリと機密レベルのテーブルに対する権限のリクエストが送信されると、このリクエスト処理ポリシーを使用してリクエストが処理されます。
データ機密レベルは、データカテゴリと機密レベルに基づく 1 つのリクエスト処理ポリシーにのみ関連付けることができます。 そうしないと、ポリシーの競合エラーが報告されます。
Alibaba Cloud アカウントを使用するか、RAM ユーザーとしてデータ範囲を指定できます。 RAM ユーザーとしてデータ範囲を指定する場合、次の条件を満たす必要があります。
AdministratorAccess ポリシーが RAM ユーザーにアタッチされている。
AliyunDataWorksFullAccess ポリシーが RAM ユーザーにアタッチされており、すべての MaxCompute プロジェクトのプロジェクトオーナーまたは Super_Administrator ロールが RAM ユーザーに割り当てられている。
通知方法の設定
サポートされている通知方法: SMS、E メール、DingTalk チャットボット、Webhook URL。
通知方法を設定すると、権限リクエストが処理のために送信されたときに、設定された通知方法に基づいて承認者に通知が送信されます。
このセクションでは、通知方法のみを設定する必要があります。 次のステップでリクエスト処理ノードを設定するときに、承認者を設定できます。
承認者が SMS または E メールで通知を受信できるようにするには、承認者を DataWorks のアラート連絡先に追加する必要があります。 詳細については、「アラート連絡先の構成と表示」 をご参照ください。
承認者が DingTalk チャットボットを使用して通知を受信できるようにするには、ロボットの追加ダイアログボックスで [セキュリティ設定] パラメーターを設定するときに、[カスタムキーワード] を選択します。 次に、カスタムキーワードフィールドに [dataworks] と入力します。 セキュリティ設定パラメーターを設定するときは、他のチェックボックスが オフ になっていることを確認してください。
DataWorks をカスタムキーワードとして追加しない場合、またはセキュリティ設定パラメーターを設定するときに他のチェックボックスを選択した場合、承認者は DingTalk チャットボットを使用して通知を受信できません。
リクエスト処理ノードの設定
[処理リンクの設定] ステップの各リクエスト処理ノードで、承認者と承認者のロールを指定できます。 
リクエスト処理ノードを設定する場合は、次の項目に注意してください。
リクエスト処理手順: リクエスト処理手順が設定されると、リクエストはリクエスト処理ノードで指定した承認者に順番に転送されます。 次の承認者は、現在の承認者がリクエストを承認した後にのみ、リクエスト処理通知を受信してリクエストを処理できます。
承認者: リクエスト処理ノードの承認者として、次のタイプのエンティティを指定できます: [dataworks ワークスペースレベルのロール]、[dataworks ワークスペースメンバー]、[テーブルオーナー]、[alibaba Cloud アカウント]、[maxcompute ロール]。
説明権限リクエストが処理のために送信されると、DataWorks は設定された通知方法に基づいて各承認者に通知を送信します。 承認者が SMS または E メールで通知を受信できるようにするには、承認者を DataWorks のアラート連絡先に追加する必要があります。 詳細については、「アラート連絡先の構成と表示」 をご参照ください。
同じロールを担う複数のユーザーがリクエスト処理ノードの承認者として指定されている場合、通知はすべての承認者に送信されます。 この場合、リクエスト処理ノードの承認者の 1 人がリクエストを承認すると、リクエストは次のリクエスト処理ノードに転送されます。
リクエスト処理ポリシーの優先順位の設定
MaxCompute プロジェクトベースのリクエスト処理ポリシーと Data Security Guard のデータのカテゴリと機密レベルに基づくリクエスト処理ポリシーの両方が設定されている場合、特定のデータ範囲が両方のタイプの処理ポリシーに該当する可能性があります。 この場合、2 つのタイプの処理ポリシーに優先順位を設定できます。