すべてのプロダクト
Search
ドキュメントセンター

DataWorks:コンピュートエンジンデータのリクエスト処理ポリシー

最終更新日:Mar 27, 2026

ユーザーが MaxCompute のテーブル、リソース、または関数へのアクセスをリクエストした際、DataWorks は誰がどの順序でそのリクエストをレビューするかを把握する必要があります。リクエスト処理ポリシーは、ポリシーが対象とするデータ範囲、承認者への通知チャネル、およびリクエストが通過しなければならない連続した承認チェーンを定義します。

前提条件

開始する前に、以下をご確認ください:

  • DataWorks Enterprise Edition のワークスペース

  • ワークスペースの管理者アクセス権限、または AliyunDataWorksFullAccess ポリシーがアタッチされた RAM ユーザー

リクエスト処理ポリシーの仕組み

各ポリシーは、以下の 3 つの要素を関連付けます:

要素 説明
データ範囲 このポリシーが管理する権限リクエストの対象となる MaxCompute プロジェクト、またはデータセキュリティガードにおけるデータカテゴリと感度レベル
通知方法 リクエストが届いた際に承認者に通知する方法
承認チェーン 承認者の順序付けられたシーケンス。現在の承認者が承認した場合にのみ、リクエストは次の承認者に進みます。

データ範囲が MaxCompute プロジェクトベースのポリシーとデータセキュリティガードベースのポリシーの両方でカバーされている場合、優先度を設定してどちらのポリシーを有効にするかを制御できます。

制限事項

  • ワークスペースの管理者と AliyunDataWorksFullAccess ポリシーを持つ RAM ユーザーのみが、リクエスト処理ポリシーを作成および管理できます。

  • コンピュートエンジンデータのリクエスト処理ポリシーは、DataWorks Enterprise Edition でのみ利用可能です。

リクエスト処理ポリシーの作成

ステップ 1: 承認センターを開く

  1. DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。

  2. 左側のナビゲーションウィンドウで、データ開発と O&M > データ開発 を選択します。ドロップダウンリストからワークスペースを選択し、データ開発へ をクリックします。

  3. 左上隅の 图标 アイコンをクリックし、すべての製品 > その他 > 承認センター を選択します。

  4. 承認センターの左側のナビゲーションウィンドウで、ポリシー > コンピュートエンジン を選択します。ページには、既存のすべてのリクエスト処理ポリシーが一覧表示されます。このページからポリシーを編集または削除することもできます。

  5. 右上隅の ポリシーの作成 をクリックして、ポリシー作成ウィザードを開きます。

ステップ 2: 基本情報の入力

基本信息

[ポリシー名][目的]に、このポリシーが対象とするビジネスシナリオの説明を入力します。

ステップ 3: データ範囲の指定

データ範囲によって、このポリシーが管理する権限リクエストが決まります。以下のいずれかのオプションを選択します。

选择配置范围

オプション 1: MaxCompute プロジェクトによるスコープ設定

MaxCompute プロジェクト」ドロップダウンリストから MaxCompute プロジェクトを選択します。このプロジェクト内のテーブルに対する権限要求は、このポリシーを経由してルーティングされます。

制約:

  • 各 MaxCompute プロジェクトは、1 つのプロジェクトベースのポリシーにしか関連付けることができません。2 つ目のポリシーを関連付けると、競合エラーが発生します。

  • ドロップダウンリストには、現在のアカウントが Admin または Super_Administrator ロールを持つプロジェクトのみが表示されます。リストが空の場合は、そのロールを持つアカウントに切り替えてください。

    説明

    DataWorks ワークスペースの管理者は、ワークスペース内で role_project_admin ロールが割り当てられますが、関連付けられた MaxCompute プロジェクトの Admin または Super_Administrator ロールは割り当てられません。ご自身のロールを確認するには、DataStudio ページで whoami を実行してアカウント情報を取得し、次に show grants for <your_account> を実行して、Admin または Super_Administrator ロールを持っているかどうかを確認します。

オプション 2: データカテゴリと感度レベルによるスコープ設定

[Select Data Security Level]」ドロップダウンリストから、データカテゴリおよび感度レベルを選択します。データセキュリティガードで該当する分類に一致するテーブルに対する権限リクエストは、このポリシーを経由してルーティングされます。

制約:

  • 各感度レベルは、データカテゴリと感度レベルに基づくポリシーに 1 つしか関連付けることができません。2 つ目のポリシーを関連付けると、競合エラーが発生します。

  • このスコープは、Alibaba Cloud アカウントまたは RAM ユーザーを使用して設定できます。RAM ユーザーを使用する場合、次の両方の条件を満たす必要があります:

    • AdministratorAccess ポリシーが RAM ユーザーにアタッチされていること。

    • AliyunDataWorksFullAccess ポリシーが RAM ユーザーにアタッチされており、かつ RAM ユーザーがすべての MaxCompute プロジェクトで Project Owner または Super_Administrator ロールを持っていること。

ステップ 4: 通知方法の設定

DataWorks は 4 つの通知方法をサポートしています:

方法 設定に関する注記
テキストメッセージ DataWorks で承認者をアラート連絡先として追加します。 詳細については、「アラート連絡先の設定と表示」をご参照ください。
メール DataWorks で承認者をアラート連絡先として追加します。 詳細については、「アラート連絡先の設定と表示」をご参照ください。
DingTalk チャットボット [ロボットを追加] ダイアログボックスで、[セキュリティ設定][カスタムキーワード] に設定し、キーワードとして DataWorks を入力します。[セキュリティ設定] の下にある他のすべてのチェックボックスをオフにします。このステップをスキップしたり、他のチェックボックスを選択したりすると、承認者は DingTalk 通知を受信できなくなります。
Webhook URL
通知机制

権限リクエストが送信されると、DataWorks はここで設定した方法を使用してすべての承認者に通知します。特定の承認者は次のステップで割り当てます。

ステップ 5: 承認チェーンの設定

[処理リンクの設定] ステップで、1 つ以上の承認ノードを追加します。各ノードに、承認者とロールを割り当てます。

审批节点

承認順序: リクエストは順番に進みます。現在の承認者が承認した場合にのみ、次の承認者に通知されます。

1 つのノードに複数の承認者: 1 つのノードに同じロールを共有する複数の承認者がいる場合、DataWorks はその全員に通知します。いずれか 1 人が承認すれば、リクエストは次のノードに進みます。

サポートされている承認者タイプ:

承認者タイプ 説明
DataWorks ワークスペースレベルのロール ワークスペースレベルで定義されたロール
DataWorks ワークスペースメンバー 個々のワークスペースメンバー
テーブルオーナー リクエストされたテーブルのオーナー
Alibaba Cloud アカウント 特定の Alibaba Cloud アカウント
MaxCompute ロール MaxCompute プロジェクトで定義されたロール
説明

テキストメッセージまたは E メール通知を受信するには、承認者をアラート連絡先として追加する必要があります。詳細については、「アラート連絡先の設定と表示」をご参照ください。

ポリシーの優先度の設定

MaxCompute プロジェクトベースのポリシーとデータセキュリティガードベースのポリシーの両方がある場合、1 つのデータ範囲が両方に一致することがあります。優先度を設定して、どちらのポリシーを優先するかを制御します。

优先级