ApsaraVideo VODは、リクエストを開始するユーザーのIDを認証し、AccessKeyペアに基づいてユーザーが必要な権限を持っているかどうかを判断します。 ApsaraVideo VODは、Alibaba CloudアカウントのAccessKeyペア、RAMユーザーのAccessKeyペア、およびSecurity Token Service (STS) の一時的なAccessKeyペアに基づく認証をサポートしています。 このトピックでは、これらの認証方法を比較し、Alibaba Cloudが提供するシステムポリシーについて説明します。
ID 認証
ApsaraVideo VODには、ApsaraVideo VODが提供するAPIまたはSDKを使用してアクセスできます。 SDKには、アップロードSDK、ApsaraVideo Player SDK、およびショートビデオSDKが含まれます。
ApsaraVideo VODは、リクエストごとにユーザーのIDを認証し、ユーザーが操作を実行する権限を持っているかどうかを確認します。 AccessKeyペアはID認証で使用されます。
用語
RAM
Resource Access Management (RAM) は、ユーザーIDを管理し、リソースへのアクセスを制御できるAlibaba Cloudサービスです。 詳細については、「RAM の概要」をご参照ください。
説明RAMサービスは、リソースではなく権限を分離および管理します。 RAMユーザーはAlibaba Cloudアカウントに従属しており、実際のリソースを所有していません。 すべてのリソースはAlibaba Cloudアカウントにのみ属します。 リソースを分離する場合は、ApsaraVideo VODのマルチアプリケーションシステムを使用できます。 詳細については、「概要」をご参照ください。
Alibaba Cloud アカウント
Alibaba Cloudアカウントは、Alibaba Cloudリソースの所有者です。 Alibaba Cloudアカウントは、自身が所有するすべてのリソースの使用に対して課金されます。 Alibaba Cloudアカウントは、リソースを完全に制御できます。
RAM ユーザー
RAMユーザーはAlibaba Cloudアカウントで作成されます。 Alibaba Cloudアカウントの各RAMユーザーには独自のAccessKeyペアがあり、Alibaba Cloudアカウントと同じ方法で許可された操作を実行できます。 RAMユーザーは、特定の操作権限を持つユーザーと見なすことができます。
role
ロールは、権限ポリシーがアタッチされるIDです。 ロールにはログインパスワードまたはAccessKeyペアはありません。 ロールはRAMユーザーに割り当てることができます。 RAMユーザーにロールが割り当てられると、そのロールの権限がRAMユーザーに付与されます。
説明RAM ユーザーとロールとの関係は、個人とその立場との関係に似ています。 たとえば、個人には、職場の従業員と自宅の父親の役割が割り当てられます。 個人は、異なるシナリオにおいて異なる役割を割り当てられ得る。 個人に特定のロールが割り当てられている場合、その個人にはそのロールの権限が付与されます。 ロールは運用エンティティではありません。 ロールは、ロールがユーザーに割り当てられた後にのみ、完全な運用エンティティになります。
ロールは、同時に複数のユーザーに割り当てることができます。 ロールが割り当てられているユーザーには、そのロールのすべての権限が自動的に付与されます。
RAM ポリシー
RAMポリシーは、ポリシー構造と構文に基づいて記述される一連の権限です。 ポリシーを設定して、IDが実行できる操作、リソース、および条件を制御できます。 RAMポリシーを設定し、ユーザーまたはユーザーグループに特定の権限を付与して、Alibaba Cloudアカウントのリソースまたはサービスへのアクセスを制御できます。 たとえば、メディアリソースをアップロード、再生、またはレビューする権限のみをユーザーに付与できます。
アクセス制御の概念の詳細については、「基本概念」をご参照ください。
AccessKey ペア
AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。 AccessKeyペアは、ユーザーIDの認証に使用されます。 ApsaraVideo VODは、対称暗号化でAccessKeyペアを使用してユーザーIDを認証します。
AccessKey IDは、ユーザーを識別するために使用されます。
AccessKeyシークレットは、署名文字列の暗号化と検証に使用されます。 AccessKeyは秘密にしておく必要があります。
AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。
ApsaraVideo VODにアクセスするには、次のタイプのAccessKeyペアを使用できます。
Alibaba CloudアカウントのAccessKeyペア
Alibaba CloudアカウントのAccessKeyペアは、ApsaraVideo VODの有効化に使用されるアカウント、またはAlibaba Cloudに登録されているアカウントのAccessKeyペアです。 各Alibaba CloudアカウントのAccessKeyペアは、アカウントが所有するリソースへのフルアクセスを許可します。 各Alibaba Cloudアカウントは、有効または無効の状態にある最大5つのAccessKeyペアを持つことができます。
Alibaba Cloud管理コンソールでAccessKeyペアの追加または削除を申請できます。 各AccessKeyペアは、有効または無効の状態にあります。 ID認証に使用できるのは、有効なAccessKeyペアのみです。
警告Alibaba CloudアカウントのAccessKeyペアは、すべてのリソースへのフルアクセスを許可し、AccessKeyペアが開示された場合、データリークのリスクが高くなります。 Alibaba CloudアカウントのAccessKeyペアを使用してApsaraVideo VODにアクセスしないことを推奨します。
RAMユーザーのAccessKeyペア
RAM は、Alibaba Cloud が提供するリソースアクセス制御サービスです。 RAMユーザーのAccessKeyペアは、RAMで承認されます。これらは、RAMで定義されたルールに基づいてのみApsaraVideo VODリソースにアクセスするために使用できます。RAMを使用して、従業員、システム、アプリケーションなどのユーザーを管理し、リソースにアクセスするユーザーの権限を制御できます。 たとえば、RAMを使用して、ビデオを再生する権限のみをユーザーに付与できます。 RAMユーザーはAlibaba Cloudアカウントに従属しており、実際のリソースを所有していません。 すべてのリソースはAlibaba Cloudアカウントにのみ属します。
RAMコンソールにログインして、RAMユーザーを作成し、AccessKeyペアを取得し、RAMユーザーに権限を付与できます。
警告過剰な権限によって引き起こされるセキュリティリスクを防ぐために、必要な権限のみをRAMユーザーに付与します。 詳細なアクセス制御の設定方法の詳細については、「カスタムポリシーの作成」をご参照ください。
STSの一時的なAccessKeyペア
セキュリティトークンサービス (STS) は、一時的なアクセス認証情報を提供する Alibaba Cloud サービスです。 STSの一時的なAccessKeyペアは、STSによって発行され、特定の期間有効なAccessKeyペアです。 STSの一時的なAccessKeyペアは、STSによって定義され、指定された有効期間が経過すると期限切れになるルールに基づいてのみ、ApsaraVideo VODリソースにアクセスするために使用できます。
認証方法の比較
認証方法 | Risk | 権限 | 有効期間 | シナリオ |
Alibaba CloudアカウントのAccessKeyペア | 非常に高い | ApsaraVideo VODのすべてのリソースを管理する権限 | 有効になった後に永久に有効 | Alibaba CloudアカウントのAccessKeyペアは、スーパー管理者が操作を実行するために使用できます。 プログラム、特にクライアントではAccessKeyペアを使用しないことを推奨します。 |
RAMユーザーのAccessKeyペア | 高い | ポリシーに基づいて付与される権限 | 有効になった後に永久に有効 | RAMユーザーのAccessKeyペアは、特定のアップロード、再生、および管理操作を許可するために使用されます。 AccessKeyペアが漏洩した場合、置換用に複数のAccessKeyペアを作成できます。 たとえば、RAMユーザーが辞任すると、RAMユーザーのAccessKeyペアがリークにさらされます。 サーバー上のRAMユーザーのAccessKeyペアを使用することを推奨します。 |
STSの一時的なAccessKeyペア | 低い | ポリシーに基づいて付与される権限 | 指定された有効期間が経過するまで有効 | STSの一時的なAccessKeyペアは、モバイルまたはwebクライアントで使用できます。 STSの一時的なAccessKeyペアを生成するには、サーバーをデプロイする必要があります。 |
上記の認証方法に加えて、アップロード資格情報と再生資格情報を使用して、メディアのアップロードと再生中の認証とセキュリティの問題を処理することもできます。 資格情報とSTSの比較の詳細については、「資格情報とSTSの比較」をご参照ください。
システムポリシー
ApsaraVideo VODは、RAMユーザーまたはSTSアカウントに権限を付与する4つのシステムポリシーを提供します。
ポリシー | 説明 | 操作 |
AliyunVODFullAccess | ApsaraVideo VODのすべてのリソースを管理する権限 | ApsaraVideo VODのすべてのAPI操作 |
AliyunVODReadOnlyAccess | ApsaraVideo VODのすべてのリソースに対する読み取り専用権限 | ApsaraVideo VODのすべての読み取り関連API操作 (Get、Describe、Search、Listで始まるAPI操作など) |
AliyunVODPlayAuth | ApsaraVideo Player SDKを使用するか、特定のAPI操作を呼び出してビデオを再生する権限 | 再生関連のAPI操作: |
AliyunVODUploadAuth | アップロードSDKを使用するか、特定のAPI操作を呼び出してApsaraVideo VODにリソースをアップロードする権限 | アップロード関連のAPI操作: |
他のクラウドサービスの権限ポリシー
次の表に、ビジネス要件に基づいてRAMユーザーまたはSTSアカウントにアタッチできるポリシーを示します。
ポリシー | 説明 | API 操作 |
AliyunOSSFullAccess | Object Storage Service (OSS) へのアクセス権限 | ApsaraVideo VODのストレージを管理します。 |
AliyunMNSFullAccess | Simple Message Queue (formerly MNS) へのアクセス権限 | ApsaraVideo VODのコールバック機能を使用します。 |
AliyunKMSFullAccess | キー管理サービス (KMS) にアクセスする権限 | HLS暗号化またはAlibaba Cloud独自の暗号化を使用して、ApsaraVideo VODのリソースを暗号化します。 |
AliyunCDNFullAccess | Alibaba Cloud CDNへのアクセス許可 | ApsaraVideo VODでAlibaba Cloud CDNに関連する機能を使用します。 |