多應用體系支持將同一賬號下多個使用方的資源、配置和數據進行隔離。您可以通過API管理應用,對身份實體進行授權。本文為您介紹多應用體系的使用場景、使用限制,以及應用管理和授權。
多應用體系簡介
使用點播服務時,會有需要將同一賬號下多個使用方的資源、配置和數據進行隔離的場景,多個使用方包括多個環境、多個業務或多個渠道。
阿里云視頻點播構建了多應用體系,可以滿足多個使用方的相互隔離。多應用體系默認為關閉狀態,您可以申請開通并完成相關配置,還可結合RAM訪問控制實現分權限管理。具體操作,請參見使用多應用體系。
使用場景
多個環境隔離:
測試環境和線上環境需要資源隔離(如視頻、圖片等),或配置、數據等的隔離(如分別配置不同的消息回調地址),可以使用多應用體系,為每個環境創建不同的應用,并關聯不同的RAM子賬號、授予相應權限,以免開發、測試時影響線上。
多個業務隔離:
同一公司有多條業務線或者多個部門都需要使用點播服務,可以使用多應用來做到相互隔離,為每個業務或部門創建不同的應用。
多個渠道隔離:
如果想基于點播服務的某些能力構建平臺化服務,面向多個渠道或多個客戶,也可以使用多應用體系。
使用限制
同一賬號最多可以創建10個應用,如有更高需求,請填寫宜搭信息申請。
暫時只支持媒體上傳、音視頻播放、媒資管理、消息回調的多應用隔離。
多應用暫時只是元數據層面而非物理存儲上的隔離,故不支持每個應用的單獨計費,后續會逐步支持域名、存儲等的物理隔離。
暫不支持在中國香港地域使用多應用體系。
應用管理
應用類型
開啟多應用后,您可以創建新的自定義應用,但為確保新老數據的兼容,點播服務提供了系統默認應用的概念,且默認應用不可刪除。
應用類型
應用說明
關聯資源
權限管理說明
System
系統默認應用
舊數據都在默認應用下,新創建數據若未指定也會關聯到默認應用
為不影響您的現有業務,主賬號下的身份實體(RAM用戶或角色)都擁有其系統默認應用的權限,也可由主賬號撤銷其授權
Custom
用戶自定義應用
初始資源為空,可新創建數據時關聯到該應用,也可遷移舊數據到該應用
主賬號下的身份實體只有授予權限后才能訪問該應用下的資源
應用ID
系統默認應用的ID為
app-1000000用戶自定義應用的ID形式為
app-xxxxxxx
說明可通過獲取應用信息列表接口查詢到應用ID列表。
管理方式
您可以通過調用多應用體系的接口,創建、查詢、更新和刪除應用。控制臺后續會支持多應用的管理。
賬號授權
阿里云的賬號體系主要分為:阿里云賬號(主賬號)、RAM用戶、RAM角色等,您可以為指定的身份實體(RAM用戶或RAM角色)授予相關應用訪問權限。
權限策略
目前視頻點播開放了三種應用授權策略,可以對身份實體進行授權。
策略名稱
說明
范圍
操作權限
VODAppAdministratorAccess
應用管理員權限
所有應用
管理主賬號下的所有應用及應用下所有資源的權限
VODAppFullAccess
管理和操作應用下所有資源的權限
單個應用
指定應用下的所有資源
VODAppReadOnlyAccess
只讀訪問應用下所有資源的權限
單個應用
指定應用下的所有資源的讀操作,如調用以Get、Describe、Search、List開頭的接口操作應用下的資源
主賬號權限
主賬號擁有應用管理員的權限(VODAppAdministratorAccess),且不可更改自己的權限(如撤銷應用授權)。應用管理員權限如下:
可以創建、刪除、修改、查詢主賬號下的所有應用。
可以創建、刪除、修改、查詢各應用下的所有資源、配置和數據。
可以對主賬號下的身份實體(RAM用戶或角色)進行應用授權和撤銷授權,但不可撤銷自己的管理員權限。
RAM用戶或角色權限
RAM用戶或角色要使用點播多應用,需要先由主賬號在RAM訪問控制里授予其VODFullAccess權限,更細粒度的點播資源權限需要使用多應用管理。即,該身份實體擁有的權限是RAM權限和點播多應用權限的交集。
為確保開通多應用后服務能新舊兼容,RAM用戶或角色都擁有系統默認應用的完全權限(VODAppFullAccess),應用管理員可以對其撤銷或重新授權。
可查詢已授權的應用信息列表,授予某個應用的權限后,可對該應用下的資源(媒資、消息回調配置等)進行相關操作。
如被授予應用管理員權限(VODAppAdministratorAccess),則可管理主賬號下的所有應用和資源。
如要跨應用遷移資源,則需要同時擁有兩個應用的資源讀寫權限。
授權方式
您可以對身份實體附加或撤銷應用授權。相關API,請參見多應用體系,控制臺后續會支持多應用的授權。