审批策略用于定义对数据资产权限申请、敏感操作等行为的审批流程。DataWorks 按审批类型(如 MaxCompute、Hologres、数据服务、扩展程序等)分别维护策略列表,命中策略后会按既定流程发起审批,并按通知机制告知审批人。本文介绍审批策略模块的总体能力、入口路径、审批类型清单以及列表页通用操作。
进入审批策略页面
DataWorks 提供两套入口,均指向同一份审批策略数据:
新版数据安全场景:在 DataWorks 工作空间左侧导航栏选择申请与审批 > 审批策略,通过页面顶部的审批类型下拉框切换不同类型的策略列表。
旧版数据保护伞场景(保留用于未升级到新版数据安全的租户):选择全部产品 > 数据治理 > 审批中心 > 审批策略管理,再按左侧导航切换审批类型。
新版数据安全列表页通过 URL 参数(?type=...)同步当前选择的审批类型,可作为外部链接直达指定类型的列表。
审批策略列表对登录用户可见,但新建、查看、编辑、删除四个操作按钮需要企业版商业化权限。未开通企业版时,相关按钮会被替换为「升级到企业版」入口。
审批类型清单
审批策略列表顶部的审批类型下拉框最多展示 8 种类型;具体下拉项受当前租户已开通引擎影响(以页面实际展示为准)。其中 4 类支持用户自建,4 类由系统内置,对租户不开放新建:
审批类型 | 可见条件 | 能否新建 | 对应子文档 |
MaxCompute | 永远显示(列表默认筛选项) | 可 | 计算引擎审批策略 |
Hologres | 仅当租户引擎包含 Hologres 时显示 | 可 | 计算引擎审批策略 |
Data Lake Formation(DLF) | 仅当租户引擎包含 DLF Next 时显示 | 不可(系统内置) | 暂无 |
DLF-Legacy | 仅当租户引擎包含 DLF 1.0 时显示 | 不可(系统内置) | 计算引擎审批策略(仅描述) |
Lindorm | 永远显示 | 不可(系统内置) | 暂无 |
数据服务 | 永远显示 | 可 | 数据服务审批策略 |
扩展程序 | 永远显示 | 可 | 扩展程序审批策略 |
数据资产治理 | 永远显示 | 不可(系统内置) | 暂无 |
新建策略按钮的下拉项与列表筛选项不一致:仅 MaxCompute、Hologres、数据服务、扩展程序 4 类支持用户自建;DLF-Legacy、DLF、Lindorm、数据资产治理 4 类对应按钮被禁用,hover 提示「该审批类型不支持新建策略」。系统内置策略由 DataWorks 平台预置,租户可查看、启停、调整匹配顺序,但不能新建。
列表页通用能力
能力 | 说明 |
按审批类型筛选 | 页面顶部审批类型下拉框;筛选结果会同步到 URL 参数 |
列表展示项 | 匹配顺序、策略 ID、策略名称、审批类型、审批范围、规则用途、状态、操作。 |
复制策略 ID / 名称 | 在策略 ID、策略名称列旁单击复制图标,复制成功后会出现 Toast 提示。 |
启用/停用策略 | 状态列开关,二次确认后调用启停接口。未开通企业版时显示为「升级到企业版」按钮。 |
调整匹配顺序 | 列表行支持鼠标拖拽来调整匹配顺序(扩展程序类型除外,扩展程序需到「安全中心 > 风险识别规则」配置)。后端按匹配顺序从小到大依次检查,命中即停(数值越小优先级越高)。列内匹配顺序展示的是当前类型下的视图序号(1, 2, 3…),并非后端的内部 priority 数值。 |
查看 / 编辑 / 删除 | 在操作列发起;系统策略不展示删除按钮(参见下文「系统策略的特殊处理」)。删除扩展程序类型策略时会有特殊文案,引导回风险识别规则。 |
审批范围列展示规则 | 系统策略的审批范围为空时,列内展示全部(表示对全量数据生效);用户自建策略未配置范围时展示「-」(创建表单已强制必填,正常不会出现)。 |
列表上限 | 列表一次性加载至多 100 条且无翻页。如同类型策略数量预期超过上限,请联系阿里云技术支持。 |
系统策略的特殊处理
系统策略由 DataWorks 平台预置,仅允许租户调整通知通道与自动放行口径,不允许修改作用范围与审批节点。具体表现为:
操作列不显示删除按钮。
审批范围为空时,列内显示全部,表示对全量数据生效。
编辑系统策略时,基本信息中的策略名称、规则描述均不可修改。
编辑系统策略时,生效范围与配置审批节点整段不渲染。仅可调整通知机制;若为 MaxCompute 类型,可额外调整自动放行配置。
审批人类型
编辑非系统策略时,每个审批节点的审批人可在如下 5 种类型中选择,部分类型按引擎/资源由系统自动定位负责人。
审批人类型 | 说明 | 适用审批类型 |
阿里云 RAM 用户 | 指派具体的 RAM 子账号作为审批人。 | 全部 |
MaxCompute 角色 | 指派 MaxCompute 项目内的角色作为审批人。 | MaxCompute |
租户角色 | 指派租户级角色(如租户管理员)作为审批人。 | 全部 |
DataWorks 项目角色 | 指派工作空间角色(如空间管理员)作为审批人。 | 全部 |
DataWorks 项目成员 | 指派工作空间内任意成员作为审批人,不限角色。 | 全部 |
此外,部分场景下系统会按资源自动定位负责人作为审批人,UI 上不允许指派具体人员,仅作为审批节点的标识展示:
表/项目管理员(按 MaxCompute、Hologres 等引擎自动定位表或项目责任人)。
DLF / DLF-Next 管理员(按 DLF 引擎自动定位管理员)。
Lindorm 管理员(按 Lindorm 引擎自动定位管理员)。
阿里云资源 Owner(按资源自动定位资源所有者)。