プロジェクトのサービスロールを設定して権限を付与する - Intelligent Media Management

Intelligent Media Management (IMM) プロジェクトを作成するときは、プロジェクトのサービスロールを指定する必要があります。これにより、IMM サービスがそのロールを偽装して、Object Storage Service (OSS) などの承認されたクラウドリソースにアクセスできるようになります。このトピックでは、サービスロールを設定して権限を付与する方法について説明します。

警告

サービスロールの作成、プロジェクトの作成、またはプロジェクトのサービスロールの変更を行うには、そのロールに付与されているすべての権限が必要です。そうでない場合、権限が不十分なため操作は失敗します。注意して進めてください。

サービスロールを作成して権限を付与する

デフォルトのサービスロールを承認する

初めてプロジェクトを作成するときは、プロンプトに従ってクラウドリソースへのアクセスを承認します。

[クラウドリソースアクセス承認] ページで、デフォルトの承認ロール [AliyunIMMDefaultRole] に関する情報を表示し、[承認の確認] をクリックします。

承認ロールが作成された後、Resource Access Management (RAM) コンソールを使用して、詳細な権限を設定できます。

警告

[AliyunIMMDefaultRole] サービスロールは OSS への高度なアクセス権限を持っていることに注意してください。Alibaba Cloud アカウントの RAM ユーザーが CreateProject / UpdateProject などの IMM 権限を持っている場合、そのユーザーは [AliyunIMMDefaultRole] をアタッチし、メタデータインデックス機能を使用して OSS ファイルを一覧表示または分析できます。これらの権限を正確にコントロールするには、「カスタムサービスロールの作成」をご参照ください。

カスタムサービスロールの作成

RAM コンソールを使用して、サービスロールを設定し、権限を付与できます。詳細については、「サービスリンクロールを作成する」をご参照ください。

[信頼できるエンティティタイプ] を [Alibaba Cloud サービス] に設定します。
[ロール名] を入力し、[ロールタイプ] で [サービスロール] を選択し、[信頼できるサービス] で [Intelligent Media Management] を選択します。
[OK] ボタンをクリックして、カスタムサービスロールを作成します。

RAM コンソールでロールが作成された後、そのロールには権限がありません。この RAM ロールに権限を付与する必要があります。少なくとも、OSS と Message Service (MNS) に必要な権限を付与してください。

RAM コンソールでポリシーを作成できます。ポリシーを作成するには、[スクリプトエディター] を使用します。

创建权限策略.png

次のポリシーは、「my-bucket」という名前の OSS バケットにのみ権限を付与します。このポリシーをコピーして使用する場合は、バケット名を実際のバケット名に置き換えてください。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:Get*",
                "oss:List*",
                "oss:PutBucketLifecycle",
                "oss:PutBucketNotification",
                "oss:DeleteBucketNotification",
                "oss:PutBucketAcl",
                "oss:PutObjectAcl",
                "oss:CopyObject",
                "oss:AppendObject",
                "oss:PutSymlink",
                "oss:PutObject",
                "oss:StartEventRecord",
                "oss:StopEventRecord",
                "oss:GetEventRecordStatus"
            ],
            "Resource": "acs:oss:*:*:my-bucket/*",
            "Effect": "Allow"
        },
        {
            "Action":"mns:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:PassRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "acs:Service": "imm.aliyuncs.com"
                }
            }
        }
    ]
}

作成したポリシーをサービスロールにアタッチします。詳細については、「RAM ロールに権限を付与する」をご参照ください。

サービスロールを使用する

サービスロールが作成された後、サービスロール入力ボックスの横にある更新アイコンをクリックします。その後、次の図に示すように、新しいサービスロールを選択して Intelligent Media Management プロジェクトを作成できます。

使用服务角色.jpg

(任意) サービスロールの権限を変更する

RAM コンソールでロールの権限を変更できます。詳細については、「RAM ロールに権限を付与する」をご参照ください。

サービスロールの権限を変更するときは、ユースケースに基づいて、少なくとも OSS と MNS に必要な権限を付与していることを確認してください。そうでない場合、権限が不十分なため API 呼び出しが失敗する可能性があります。