您可以自定义MaxCompute引擎的表、资源、函数的审批流程。
背景信息
您可以从MaxCompute项目维度或数据保护伞分级分类维度定义审批流程适用的数据范围,详情可参见选择配置范围。
使用限制
- 仅空间管理员、被授权AliyunDataWorksFullAccess的子账号有权限进行审批策略的操作。
- 企业版和旗舰版的DataWorks支持使用计算引擎审批策略。
新建审批策略
填写基本信息

选择配置范围
您需要根据实际应用情况,框定本审批策略适用的数据范围。即本审批策略创建成功后,哪些数据的权限审批需要通过本审批策略定义的策略来申请。
对于MaxCompute计算引擎,当前支持通过两种方式来框定审批策略适用的范围:MaxCompute项目方式、数据保护伞分级分类方式。

- 使用MaxCompute项目方式框定范围时
- 您需要在MaxCompute项目空间配置栏处选择适用的项目空间,后续选中项目空间中的表申请均会使用本策略制定的审批流程。
- 一个MaxCompute项目只能存在一个MaxCompute审批策略中,否则会提示权限策略冲突。
- 您可选择当前账号拥有Admin角色或Super_Administrator角色的MaxCompute项目空间,如果您没有在下拉框中找到需要配置的项目空间,可能是因为当前操作账号的权限不对,需要更换为有上述权限的账号进行操作配置。
说明 DataWorks上的管理员角色在底层为role_project_admin角色,非MaxCompute引擎的Admin或者Super_Administrator角色。
如果您不清楚当前账号是什么角色,您可以在DataWorks的数据开发页面执行
whoami
命令,获取您的云账号信息,再执行show grants for 云账号
,查看是否有MaxCompute引擎的Admin或者Super_Administrator角色。
- 使用数据保护伞分级分类方式框定范围时
- 您需要在选择分级分类配置栏处选择使用的数据分级分类,后续选中的分级分类下的所有表的权限申请均会使用本策略制定的审批流程。
- 一个数据分级只能存在于一个数据保护伞分级分类策略中,否则会提示权限策略冲突。
- 仅支持阿里云主账号、子账号进行配置范围操作,如果使用子账号操作时,子账号需满足如下条件之一:
- 被授予访问控制RAM策略:AdministratorAccess。
- 被授予AliyunDataWorksFullAccess和所有MaxCompute项目Project Owner、Super_Administrator角色。
配置通知机制
当前支持配置短信、邮件、钉钉机器人这三种渠道的通知机制。
选择对应的审批通知后,后续有相关的审批流程时,审批任务会通过这里配置的通知方式,通知审批人有待审批的权限申请任务。

说明 您在进行后续步骤配置审批节点时,会指定每个审批节点的审批人是什么角色。
- 后续如果希望审批人能正常通过短信、邮件收到审批任务通知的话,您还需要将对应角色的用户添加为DataWorks的报警联系人,操作详情可参见查看和设置报警联系人。
- 后续如果希望审批人能正常通过钉钉收到审批任务通知的话,您需要在钉钉机器人管理的配置中,将钉钉机器人的安全设置勾选上自定义关键词,添加关键词DataWorks,并不要勾选其他安全设置选项。
如果您没有添加DataWorks关键词,或者勾选了其他安全设置选项,您将无法正常通过钉钉接收到审批通知。
配置审批节点

- 每个审批节点为串行的审批节点,即配置完成后,审批流程会串行的流转到每个节点的审批人处进行审批,前面节点审批人完成审批后,后一节点的审批人会受到审批通知开始审批。
- 每个节点可以选择不同的审批人类型,审批人类型支持:DataWorks空间角色、DataWorks空间成员、表责任人、阿里云主账号、MaxComputeRole。
说明
- 后续有审批任务时,DataWorks会根据上述步骤配置通知机制中配置的通知渠道,给各个审批人发送任务通知,您需要将对应审批人角色添加为DataWorks的报警联系人,操作详情可参见查看和设置报警联系人。
- 当审批人类型对应的审批角色包含多个人员时,审批通知会发送给所有人员,仅需其中任意一个人员审批完成,审批流程即可往下流转。
设置审批策略优先级
如同时存在MaxCompute项目维度审批策略和数据保护伞分级分类维度审批策略,则可能导致同一数据范围被两个审批流程所覆盖,此时您可以在计算引擎审批策略设置页码选择优先级。
