您可以創建RAM用戶并為其授權,實現不同RAM用戶擁有不同資源訪問權限的目的。使用RAM用戶可以幫助您有效避免AccessKey或者密碼泄露導致的安全問題。RAM用戶使用媒體處理需要授權的產品包括:媒體處理MPS、對象存儲OSS、訪問控制RAM、內容分發CDN、輕量消息隊列(原 MNS)。本文介紹如何創建一個RAM用戶,并授權使用媒體處理所需的相應權限。
如果在使用MPS服務時權限不足會導致報錯User not authorized to operate on the specified resource,請檢查您使用的RAM用戶是否擁有MPS的完整控制權限,或按照下文內容申請RAM用戶權限。
操作步驟
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊創建用戶。
在創建用戶頁面的用戶賬號信息區域,設置用戶基本信息。
登錄名稱:可包含英文字母、數字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。
顯示名稱:最多包含128個字符或漢字。
標簽:單擊
,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續基于標簽的用戶管理。
說明單擊添加用戶,可以批量創建多個RAM用戶。
訪問方式選中OpenAPI 調用訪問。
單擊確定并完成手機驗證,系統會自動生成RAM用戶的AccessKey。
單擊操作列的復制,保存用戶登錄名稱、登錄密碼、AccessKey等用戶信息。
重要請務必保存好登錄密碼和AccessKey信息(AccessKey ID和AccessKey Secret),否則后續無法查詢。
返回用戶列表頁面,單擊已創建RAM用戶操作列的添加權限。
在新增授權面板,配置授權信息。
單擊確認新增授權。
權限策略說明
使用媒體處理MPS,您必須授權的產品為媒體處理MPS、對象存儲OSS,可選授權的產品為輕量消息隊列(原 MNS)、播放加速CDN。其中,媒體處理MPS必須使用系統策略授權,其他產品支持系統策略或創建自定義策略。
所需授權產品 | 說明 | 是否必選 | 使用系統策略 | 使用自定義策略 |
媒體處理MPS | 使用媒體處理必須授予MTS全部權限 | 是 | MPS全部讀寫權限:AliyunMTSFullAccess | 不支持 |
對象存儲OSS | 使用媒體處理必須授予OSS讀寫權限 | 是 | OSS全部讀寫權限:AliyunOSSFullAccess | 支持,請參見下文先創建,再授權 |
輕量消息隊列(原 MNS) | 若使用輕量消息隊列(原 MNS)訂閱任務信息則必須授予MNS權限 | 否,可選 | MNS全部讀寫權限:AliyunMNSFullAccess | |
播放加速CDN | 若使用媒體處理配置播放加速則必須授予CDN權限 | 否,可選 | CDN全部讀寫權限:AliyunCDNFullAccess |
創建自定義策略
使用阿里云賬號登錄RAM控制臺。
在左側導航欄,選擇。
單擊創建權限策略,選擇腳本編輯頁簽。
設置權限策略。請填寫相關參數,填寫完成后單擊繼續編輯腳本信息。
參數
說明
策略內容
選擇導入系統策略,或將下文中您需要的策略代碼復制到代碼框中。
輸入名稱、備注等基本信息。
單擊確定完成自定義策略創建。
限制訪問MPS的IP地址、時間段示例
RAM用戶只能通過192.0.2.0/24和203.0.113.2這兩個IP地址訪問MPS。
RAM用戶只能在特定時間段(北京時間2019年8月12日17:00之前)訪問MPS。
{
"Version": "1",
"Statement": [{
"Effect": "Allow",
"Action": [
"mts:*",
"mts-inner:*"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"acs:SourceIp": [
"192.0.2.0/24",
"203.0.113.2"
]},
"DateLessThan": {
"acs:CurrentTime": "2019-08-12T17:00:00+08:00"
}
}
]
}OSS自定義策略示例
對指定的輸入、輸出Bucket有所有操作權限。
查看Bucket列表權限。
{
"Version": "1",
"Statement": [{
"Effect": "Allow",
"Action": [
"oss:ListBuckets"
],
"Resource": "*"
}, {
"Effect": "Allow",
"Action": [
"oss:*"
],
"Resource": [
"acs:oss:*:*:$InputBucket",
"acs:oss:*:*:$InputBucket/*",
"acs:oss:*:*:$OutputBucket",
"acs:oss:*:*:$OutputBucket/*
]
}
]
}參數字段說明:
參數 | 說明 |
oss:ListBuckets | 是RAM賬號通過可視化工具操作OSS必備的權限,RAM賬號登錄后可查看到所有的Bucket列表。 但是僅能操作后面賦權的$InputBucket和$OutputBucket這兩個Bucket。并且該權限暫時僅支持賦權給所有的Bucket,不支持賦權給某個Bucket。 |
oss:* | 代表OSS的所有權限。您還可以按需替換為以下更具體的操作權限。 "oss:GetObject", "oss:PutObject", "oss:GetObjectAcl", "oss:PutObjectAcl", "oss:AbortMultipartUpload", "oss:ListParts", "oss:RestoreObject", "oss:GetVodPlaylist", "oss:PostVodPlaylist", "oss:PublishRtmpStream", "oss:ListObjectVersions", "oss:GetObjectVersion", "oss:GetObjectVersionAcl", "oss:RestoreObjectVersion" |
$InputBucket | 請替換成MPS輸入文件所在Bucket。 |
$OutputBucket | 請替換成MPS輸出文件所在Bucket。 |
更多示例,請參見Bucket Policy常見示例。
RAM授權策略示例
授權可查看角色的權限策略。
{
"Version": "1",
"Statement": [{
"Effect": "Allow",
"Action": [
"ram:ListPoliciesForRole"
],
"Resource": "*"
}
]
}MNS自定義策略示例
授權可查看所有的Queue、Topic列表。
但僅對指定的$QueueName,$TopicName有全部讀寫權限。
{
"Version": "1",
"Statement": [{
"Effect":"Allow",
"Action":[
"mns:ListQueue",
"mns:ListTopic",
"mns:GetQueueAttributes",
"mns:GetTopicAttributes"
],
"Resource":"acs:mns:*:*:*"
}, {
"Effect": "Allow",
"Action": "mns:*",
"Resource": [
"acs:mns:$Region:$Uid:/queues/$QueueName",
"acs:mns:$Region:$Uid:/topics/$TopicName"
]
}
]
}參數字段說明:
參數 | 說明 |
$QueueName | MNS隊列名稱,在管道或工作流上要綁定的隊列名稱。 |
$TopicName | MNS通知主題名稱,在管道或工作流上要綁定的隊列名稱。 |
更多示例,請參見授權策略和示例。
CDN授權策略示例
授權可查看所有的CDN加速域名。
但僅對指定的CDN加速域名$DomainName有全部讀寫權限。
{
"Version": "1",
"Statement": [{
"Effect": "Allow",
"Action": "cdn:*",
"Resource": "acs:cdn:*:$Uid:domain/$DomainName"
},{
"Effect": "Allow",
"Action": "cdn:Describe*",
"Resource": "*"
}
]
}參數字段說明:
參數 | 說明 |
$DomainName | CDN加速域名名稱。 |
后續步驟
創建RAM用戶并授權完成后,可以使用RAM用戶登錄控制臺。具體操作,請參見RAM用戶登錄阿里云控制臺。