RAM用戶即RAM賬號,是RAM的一種實體身份類型。您可以為阿里云賬號(主賬號)創建RAM用戶并為其授權,實現不同RAM用戶擁有不同資源訪問權限的目的。
前提條件
您已經注冊了阿里云賬號并完成賬號實名認證。注冊地址請參見阿里云官網。注冊指引請參見注冊阿里云賬號。實名認證指引請參見個人實名認證或企業實名認證和個體工商戶認證。
操作步驟
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊創建用戶。
在創建用戶頁面的用戶賬號信息區域,設置用戶基本信息。
登錄名稱:可包含英文字母、數字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。
顯示名稱:最多包含128個字符或漢字。
標簽:單擊
,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續基于標簽的用戶管理。
說明單擊添加用戶,可以批量創建多個RAM用戶。
訪問方式選中OpenAPI 調用訪問。
單擊確定并完成手機驗證,系統會自動生成RAM用戶的AccessKey。
單擊操作列的復制,保存用戶登錄名稱、登錄密碼、AccessKey等用戶信息。
重要請務必保存好登錄密碼和AccessKey信息(AccessKey ID和AccessKey Secret),否則后續無法查詢。
返回用戶列表頁面,單擊已創建RAM用戶操作列的添加權限。
在新增授權面板,為RAM用戶添加權限。
選擇授權應用范圍。
資源范圍選擇賬號級別,智能媒體服務暫不支持指定資源組授權。關于資源組詳情,請參見資源目錄、資源組與標簽的區別和聯系。
- 輸入授權主體。授權主體即需要授權的RAM用戶,系統會自動填入當前的RAM用戶,您也可以添加其他RAM用戶。
選擇權限策略。
使用系統策略
在系統策略下輸入框中輸入AliyunICE,根據實際需求選擇篩選出的權限策略。
權限策略 描述 OpenAPI調用權限 AliyunICEFullAccess 管理和操作IMS所有資源的權限。 可以調用智能媒體服務所有的OpenAPI。 AliyunICEReadOnlyAccess 只讀訪問IMS所有資源的權限。 可以調用智能媒體服務所有讀取類的OpenAPI,例如Get、Describe、Search、List開頭的接口。 使用自定義策略
在自定義策略下根據實際需求選擇權限策略。如果沒有可用的自定義權限策略, 單擊新建權限策略,詳情請參見創建自定義權限策略、自定義策略示例。
說明每次最多綁定5條策略,如需綁定更多策略,請分次操作。
為控制風險,建議采用最小權限原則。
如果需要使用智能媒體服務端側(iOS或Android)SDK,由于需要將文件上傳到OSS上,因此需要增加OSS的權限,即
AliyunOSSFullAccess,或者您可以根據實際情況自定義OSS的權限策略。
單擊確定新增授權,完成用戶授權。
可選:如果RAM賬號需要控制臺登錄權限,請參見啟用控制臺登錄。
自定義策略示例
本文以“授予智能媒體服務部分資源的只讀訪問權限”為例進行參數字段詳解,其他策略示例類似,不再重復。
授予智能媒體服務部分資源的只讀訪問權限
{ "Version": "1", "Statement": [ { "Action": [ "ice:GetMediaProducingJob", "ice:GetEditingProject", "ice:GetMediaInfo", "ice:ListMediaBasicInfos", "ice:SearchEditingProject" ], "Resource": "*", "Effect": "Allow", "Condition": { "IpAddress": { "acs:SourceIp": "192.168.0.1" } } } ] }參數字段說明:
參數
必選
描述
Version
是
定義了策略的版本,智能媒體服務中Version固定為1。
Statement
是
可以根據業務場景包含多條語義,每條包含對Action、Resource、Effect和Condition的描述。
Action
是
支持的Action操作與OpenAPI對應,格式為
ice:API名稱,多個使用英文逗號分隔。通過指定授權的Action列表,可以組合出對應的權限分組。所有可用操作,請參見API概覽。Resource
是
表示智能媒體服務某個具體的資源或某些資源(支持通配符
*),Resource的規則是acs:ice:<regionId>:<accountId>:*。Resource也可以為列表,表示有多個Resource。其中regionId字段暫不支持,請設置為*。由于智能媒體服務現在沒有進一步區分資源,因此建議授權媒資庫資源時Resource填*或acs:ice:*:*:*。Effect
是
授權效果,包括允許(Allow)和拒絕(Deny)。每次請求時,系統會逐條依次匹配檢查,所有匹配成功的Statement會根據Effect的值,如果匹配成功的都為
Allow,則該條請求允許訪問;如果匹配成功有一條為Deny,或者沒有任何條目匹配成功,則該條請求禁止訪問。重要當權限策略中同時包含
Allow和Deny時,遵循Deny優先原則。Condition
否
表示策略授權的一些條件,可以對訪問來源等進行限制,詳情請參見條件(Condition)。
授予智能媒體服務所有資源的只讀訪問權限
{ "Version": "1", "Statement": [ { "Action": [ "ice:Get*", "ice:List*", "ice:Search*", "ice:Describe*" ], "Resource": "acs:ice:*:*:*", "Effect": "Allow" } ] }授予智能媒體服務完整權限(包含寫權限)
{ "Statement": [ { "Effect": "Allow", "Action": "ice:*", "Resource": "acs:ice:*:*:*" } ], "Version": "1" }
后續步驟
獲取到AccessKey信息后,您可以根據實際需求安裝完服務端SDK后調用OpenAPI,實現業務功能。詳情請參見調用OpenAPI流程。