:概要

アカウント権限の認証

ApsaraVideo VODにアクセスするには、ApsaraVideo VODが提供するRESTful APIまたはSDK (API、アップロード、再生、ショートビデオSDKを含む) を使用します。

リクエストごとに、ApsaraVideo VODは現在の操作に基づいてユーザーのIDを認証し、ユーザーが必要な権限を持っているかどうかを確認します。 AccessKeyペアは、ユーザーID認証で使用されます。

用語

• RAM

  Resource Access Management (RAM) は、Alibaba Cloudが提供するサービスで、ユーザーIDを管理し、リソースへのアクセスを制御できます。 詳細については、「RAM の概要」、

  説明

  RAMサービスは、リソースではなく権限を分離および管理します。 RAMユーザーはAlibaba Cloudアカウントに従属しており、実際のリソースを所有していません。 すべてのリソースはAlibaba Cloudアカウントにのみ属します。 リソースの分離を実装するには、ApsaraVideo VODでマルチアプリケーションサービスを使用します。 詳細については、「概要」をご参照ください。

• Alibaba Cloud アカウント

  Alibaba Cloudアカウントは、Alibaba Cloudリソースの所有者です。 Alibaba Cloudアカウントは、自身が所有し、リソースを完全に制御できるすべてのリソースに対して課金されます。

• RAM ユーザー

  RAMユーザーはAlibaba Cloudアカウントで作成されます。 Alibaba Cloudアカウントの各RAMユーザーには独自のAccessKeyペアがあり、Alibaba Cloudアカウントと同じ方法で許可された操作を実行できます。 RAMユーザーは、特定の操作権限を持つユーザーと見なすことができます。

• role

  ロールは、権限ポリシーがアタッチされるIDです。 ロールにはログインパスワードまたはAccessKeyペアはありません。 RAMユーザーはロールを引き受けることができます。 RAMユーザーがロールを引き受けると、そのロールの権限がRAMユーザーに付与されます。

  説明

  RAM ユーザーとロールとの関係は、個人とその立場との関係に似ています。 たとえば、人の役割は、職場の従業員と自宅の父親です。 人は、異なるシナリオで異なる役割を果たすことができる。 人が特定の役割を果たすとき、その人はその役割の権限を持ちます。 ロールは運用エンティティではありません。 これは、ユーザーが引き受けた後にのみ、完全な運用エンティティになります。

  さらに、役割は、同時に複数のユーザによって引き受けることができる。 ロールを引き受けるユーザーには、そのロールのすべての権限が自動的に割り当てられます。

• RAM ポリシー

  RAMポリシーは、ポリシー構造と構文に基づいて記述される一連の権限です。 ポリシーを使用して、許可されたリソースセット、許可された操作セット、および許可条件を記述できます。 RAMポリシーを設定し、ユーザーまたはユーザーグループに特定の権限を付与して、アカウント内のリソースまたはサービスへのアクセスを制御できます。 たとえば、ユーザーの権限をアップロード、再生、または監査の権限のみに制限できます。

アクセス制御の詳細については、「terms」をご参照ください。

AccessKeyペア

AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。 AccessKeyペアは、アクセスIDの認証に使用されます。 ApsaraVideo VODは、AccessKeyペアを使用して対称暗号化とID認証を実装します。

• AccessKey ID: ユーザーを識別するために使用されます。

• AccessKey secret: 署名文字列の暗号化と検証に使用されます。 AccessKeyは秘密にしておく必要があります。

• AccessKeyペア: AccessKey IDとAccessKeyシークレットで構成されます。

ApsaraVideo VODでは、次の3種類のAccessKeyペアを使用できます。

• Alibaba CloudアカウントのAccessKeyペア

  Alibaba CloudアカウントのAccessKeyペアは、ApsaraVideo VODサービスを有効化するアカウントまたはAlibaba Cloudに登録されているアカウントのAccessKeyペアです。 各Alibaba CloudアカウントのAccessKeyペアには、アカウントが所有するリソースに対するすべての権限があります。 各Alibaba Cloudアカウントは、最大5つの有効または無効のAccessKeyペアを持つことができます。

  Alibaba Cloud管理コンソールでAccessKeyペアの追加または削除を申請できます。 各AccessKeyペアは、有効または無効の状態にあります。 ID認証に使用できるのは、有効なAccessKeyペアのみです。

  警告

  Alibaba CloudアカウントのAccessKeyペアには完全な権限があり、開示された場合、データリークのリスクが高くなります。 したがって、Alibaba CloudアカウントのAccessKeyペアを使用してApsaraVideo VODにアクセスしないことを推奨します。

• RAMユーザーのAccessKeyペア

  RAM は、Alibaba Cloud が提供するリソースアクセス制御サービスです。 RAMユーザーのAccessKeyペアはRAMで承認されます。これらは、RAMで定義されたルールに基づいてのみApsaraVideo VODリソースにアクセスするために使用できます。RAMを使用して、従業員、システム、アプリケーションなどのユーザーを管理し、リソースにアクセスするユーザーの権限を制御できます。 たとえば、RAMを使用して、ビデオの再生権限のみをユーザーに付与できます。 RAMユーザーは、作成されたAlibaba Cloudアカウントに属しており、実際にはリソースを所有していません。 すべてのリソースは、対応するAlibaba Cloudアカウントに属しています。

  RAMコンソールにログインして、RAMユーザーを作成し、AccessKeyペアを取得し、RAMユーザーに権限を付与できます。

• STSの一時的なAccessKeyペア

  セキュリティトークンサービス (STS) は、一時的なアクセス認証情報を提供する Alibaba Cloud サービスです。 STSの一時的なAccessKeyペアは、有効期間中にSTSによって一時的に発行されるAccessKeyペアです。 STSの一時的なAccessKeyペアは、STSによって定義されたルールに基づいてのみApsaraVideo VODリソースにアクセスするために使用でき、指定された有効期間が終了すると期限切れになります。

认证方法の比较

上記の認証方法に加えて、アップロード資格情報と再生資格情報を使用して、メディアのアップロードと再生中の認証とセキュリティの問題を処理することもできます。 資格情報とSTSの比較については、「アップロード (再生) 資格情報とSTSの比較」をご参照ください。

システムポリシー

ApsaraVideo VODは、RAMユーザーまたはSTSアカウントを承認するための4つのシステムポリシーを提供します。