全部产品
Search
文档中心

大数据开发治理平台 DataWorks:计算引擎审批策略

更新时间:Jul 11, 2026

本文介绍了如何自定义MaxCompute、Hologres的审批策略,以及如何查看DLF 1.0的权限审批策略。

使用限制

  • 仅空间管理员、被授权AliyunDataWorksFullAccess的子账号有权限进行审批策略的操作。

  • 企业版的DataWorks支持使用计算引擎审批策略。

新建策略

  1. 进入数据开发页面。

    登录DataWorks控制台,切换至目标地域后,单击左侧导航栏的数据开发与运维 > 数据开发,在下拉框中选择对应工作空间后单击进入数据开发

  2. 在左侧导航栏选择申请与审批 > 审批策略,并通过页面顶部的审批类型下拉框筛选MaxComputeHologres,进入计算引擎的审批策略管理页面。

    在计算引擎审批策略的管理页面您可以看到已创建的审批策略列表,也可在此处对其进行编辑、删除、调整匹配顺序等操作。

  3. 单击页面右上角的新建审批策略,在新建审批策略页面配置审批策略信息。

    说明

    列表筛选可见的审批类型最多 8 类,但新建策略审批类型下拉仅支持 4 类:MaxCompute、Hologres、数据服务、扩展程序。DLF-Legacy、DLF、Lindorm、数据资产治理 4 类由系统内置,对应的新建按钮被禁用,无法手动新建。

填写基本信息

基本信息根据实际审批策略应用场景,填写审批策略名称审批策略用途

选择配置范围

您需要根据实际应用情况,框定本审批策略适用的数据范围。即本审批策略创建成功后,哪些数据的权限审批需要通过本审批策略定义的策略来申请。

说明

MaxComputeHologres 的配置范围方式不同:MaxCompute 支持「按项目」「按数据分级分类」两种范围,Hologres 仅支持「按 Hologres 实例」。请按您选择的审批类型查看对应小节。

MaxCompute 配置范围

对于MaxCompute计算引擎,配置范围时需要关注:

  • 您需要在MaxCompute项目空间配置栏处选择适用的项目空间,后续选中项目空间中的表申请均会使用本策略制定的审批流程。

  • 一个MaxCompute项目只能存在一个MaxCompute审批策略中,否则会提示权限策略冲突。

  • 您可选择当前账号拥有Admin角色或Super_Administrator角色的MaxCompute项目空间,如果您没有在下拉框中找到需要配置的项目空间,可能是因为当前操作账号的权限不对,需要更换为有上述权限的账号进行操作配置。

    说明

    DataWorks上的管理员角色在底层为role_project_admin角色,非MaxCompute引擎的Admin或者Super_Administrator角色。

    如果您不清楚当前账号是什么角色,您可以在DataWorks的数据开发页面执行whoami命令,获取您的云账号信息,再执行show grants for 云账号,查看是否有MaxCompute引擎的Admin或者Super_Administrator角色。

Hologres 配置范围

对于 Hologres 计算引擎,配置范围方式只有一种:按 Hologres 实例

  • Hologres 实例 配置项处,从下拉框中选择本审批策略适用的实例(支持多选,最多 50 个)。后续选中实例下的所有表的权限申请均会使用本策略制定的审批流程。

  • 一个 Hologres 实例只能属于一个 Hologres 审批策略,已被其他策略占用的实例在下拉框中会置灰且不可勾选,鼠标悬停可查看占用该实例的冲突策略名

  • 如果下拉框中找不到您想配置的实例,请确认:① 该实例属于当前 DataWorks 工作空间所在租户;② 当前操作账号对该实例有可见权限。

说明

Hologres 审批策略不支持按「数据保护伞分级分类」方式框定范围,该能力当前仅 MaxCompute 提供。

配置通知机制

当前支持配置短信、邮件、钉钉机器人、WebHook等通知方式。选择对应的审批通知方式后,后续有相关的审批流程时,审批任务会通过这里配置的通知方式,通知审批人有待审批的权限申请任务。

说明

此处仅定义审批通知方式,审批人员将在下一步的配置审批节点中定义。

  • 为保障审批人能正常通过短信、邮件收到审批任务通知,您还需要将对应角色的用户添加为DataWorks的报警联系人,操作详情可参见查看和设置报警联系人

  • 为保障审批人能正常通过钉钉收到审批任务通知,您还需要在钉钉机器人管理的配置中,将钉钉机器人的安全设置勾选上自定义关键词,添加关键词DataWorks,并不要勾选其他安全设置选项。

    如果您没有添加DataWorks关键词,或者勾选了其他安全设置选项,将无法正常通过钉钉接收到审批通知。

配置审批节点

您可以在配置审批节点区域定义每个审批节点的审批人及角色。配置审批节点时,您需关注:

  • 审批流程定义:配置完成后,审批流程会按照已定义的审批节点从上至下进行流转,即上一个节点审批人员审批通过后,下一个节点的审批人员才会收到审批通知并进行审批。

  • 审批人员定义:每个节点可以选择不同的审批人类型,MaxCompute审批人类型支持:DataWorks空间角色DataWorks空间成员表责任人阿里云主账号MaxCompute Role。Hologres审批人类型支持:表责任人、阿里云主账号、RAM子账号。

    说明
    • 后续有审批任务时,DataWorks会根据上述步骤配置通知机制中配置的通知方式,给各个审批人发送任务通知,为保障审批人能正常通过短信、邮件收到审批任务通知,您还需要将对应角色的用户添加为DataWorks的报警联系人,操作详情可参见查看和设置报警联系人

    • 当审批人类型对应的审批角色包含多个人员时,审批通知会发送给所有人员,仅需其中任意一个人员审批完成,审批流程即可往下流转。

设置审批策略优先级

如同时存在MaxCompute项目维度审批策略和数据保护伞分级分类维度审批策略,则可能导致同一数据范围被两个审批流程所覆盖,此时您可以在计算引擎审批策略设置页码选择优先级。优先级

在列表页直接拖拽某一行,即可调整当前审批类型下的匹配顺序。后端按匹配顺序从小到大依次检查、命中即停(数值越小优先级越高)。列内匹配顺序展示的是当前类型下的视图序号(1, 2, 3…),并非后端的内部 priority 数值——对用户隐藏内部值是有意为之。

说明

扩展程序类型的审批策略列表不展示匹配顺序列,也不支持本页拖序,其优先级需到「安全中心 > 安全策略 > 风险识别规则」页面配置。

配置自动放行

对于 MaxCompute 类型的非系统策略,可在新建/编辑页面右上角开启自动放行开关,配置命中后跳过审批流程直接放行的数据范围。

说明

自动放行整段配置仅在审批类型为 MaxCompute 且非系统策略时显示。Hologres、数据服务、扩展程序等其他审批类型,以及 MaxCompute 系统策略,均不渲染该模块。

自动放行配置卡片右上角的开关控制整段是否生效。关闭开关会清空已配置的数据范围与分级,再次开启时需要重新配置。

自动放行支持以下两种模式(单选,默认为指定数据范围):

  • 指定数据范围:先选择 1 个 MaxCompute 项目(单选),再选择若干数据表(多选)。

  • 指定数据分级:选择若干安全级别(多选)。

命中自动放行范围的权限申请,会跳过本策略定义的审批流程直接放行。最终判定口径以后端为准。