ApsaraVideo for Live會對每一次發起操作請求的使用者身份進行驗證,通過AccessKey驗證該帳號是否擁有相應的許可權。ApsaraVideo for Live支援主帳號AK和RAM使用者AK,本文為您介紹這兩種方式和對比,以及阿里雲提供的系統授權策略和自訂授權策略。
簡介
您可以使用ApsaraVideo for Live服務提供的API介面或SDK訪問ApsaraVideo for Live服務。ApsaraVideo for Live會針對每一次發起的請求,根據當前的操作驗證使用者身份,驗證該帳號是否擁有相應的許可權,驗證使用者身份都需要使用AccessKey。
通過阿里雲存取控制服務(RAM),可為RAM使用者授予相關許可權,以達到RAM使用者在授權範圍使用ApsaraVideo for Live控制台的目的。
存取控制基本概念
存取控制(RAM)
RAM(Resource Access Management)是阿里雲提供的使用者身份管理與資源存取控制服務。更多資訊,請參見什麼是存取控制。
說明RAM服務提供的許可權的分割和管理,而並非資源本身的隔離,也就是RAM使用者從屬於主帳號,並且這些RAM使用者下不能擁有實際的任何資源,所有資源都屬於主帳號。
阿里雲帳號(主帳號)
阿里雲帳號(主帳號)是阿里雲資源歸屬、資源使用計量計費的基本主體。阿里雲帳號為其名下所擁有的資源付費,並對其名下所有資源擁有完全控制許可權。
RAM使用者
根據阿里雲的主帳號建立的RAM使用者,每個RAM使用者擁有自己AccessKey,可以和阿里雲主帳號一樣正常的完成有許可權的操作。一般來說,這裡的RAM使用者可以理解為具有某種許可權的使用者,可以被認為是一個具有某些許可權的操作發起者。
授權策略(RAM Policy)
授權策略使用文法結構描述一組許可權,它可以精確地描述被授權的資源集、操作集以及授權條件。通過設定權限原則,並給使用者或使用者組附加授權,就可以精確控制使用者訪問您名下哪些資源或服務的許可權,比如限制您的使用者只擁有上傳、播放或審核許可權。
存取金鑰(AccessKey)
AccessKey(簡稱AK),包括訪問身分識別驗證中用到的AccessKey ID和AccessKey Secret。ApsaraVideo for Live通過使用AccessKey ID和AccessKey Secret對稱式加密的方法,來驗證某個請求的寄件者身份。
AccessKey ID:用於標識使用者。
AccessKey Secret:使用者用於加密簽名字串,以及ApsaraVideo for Live用來驗證簽名字串的密鑰,AccessKey Secret必須保密。
說明AccessKey Secret只在建立時顯示,不支援查詢,請妥善保管。
AK對:指AccessKey ID和AccessKey Secret。
更多關於存取控制的概念,請參見存取控制基本概念。
不同驗證方式及對比
目前訪問ApsaraVideo for Live使用的AK有如下2種類型:
主帳號AK
主帳號AK特指ApsaraVideo for Live開通者(即阿里雲網站註冊的帳號)的AK,每個阿里雲主帳號提供的AK對擁有的資源有完全的許可權。每個阿里雲主帳號能夠同時擁有不超過5個啟用或者禁用 AK對。您可以登入RAM存取控制台,申請新增或刪除AK對。每個AK對都有啟用和禁用兩種狀態,只有啟用的AK對才能在身分識別驗證時使用。
警告由於主帳號AK有完全的許可權,一旦泄露風險巨大,不建議使用其訪問ApsaraVideo for Live服務。
RAM使用者AK
RAM是阿里雲提供的資源存取控制服務。RAM使用者AK指的是通過RAM被授權的AK。這組AK只能按照RAM定義的規則去訪問ApsaraVideo for Live的資源。通過RAM,您可以集中管理您的使用者(比如員工、系統或應用程式),以及控制使用者可以訪問您名下哪些資源的許可權。比如能夠限制您的使用者只擁有視頻播放許可權。RAM使用者從屬於主帳號,並且這些帳號下不能擁有實際的任何資源,所有資源都屬於主帳號。
您可以登入RAM存取控制台建立RAM使用者,擷取AK,並授予相應許可權。具體操作,請參見建立RAM使用者並授權。
不同驗證方式的對比
驗證方式 | 風險 | 許可權 | 時效 | 適用情境 |
主帳號AK | 極大 | 管理和操作ApsaraVideo for Live所有資源的許可權 | 啟用後一直有效 | 超級管理員進行操作。不建議在程式裡使用,尤其不要放到用戶端。 |
RAM使用者AK | 較小 | 根據授權策略獲得相應的許可權 | 啟用後一直有效 | 授權進行具體的管理等操作。可準備多個RAM使用者,如遇AK泄露(人員離職等)需要更換;建議在服務端使用。 |
授權策略
使用授權策略,可對RAM使用者進行方便、精確的授權。阿里雲提供了系統授權策略和自訂授權策略兩種方式。
系統授權策略
使用ApsaraVideo for Live涉及到如下三種系統授權策略。
策略名稱稱
說明
操作許可權
AliyunLiveFullAccess
管理ApsaraVideo for Live(Live)的許可權
ApsaraVideo for Live所有控制台操作和API
AliyunLiveReadOnlyAccess
唯讀訪問ApsaraVideo for Live的許可權
ApsaraVideo for Live所有讀取類操作和API,如以Describe開頭的介面
AliyunMTSFullAccess
管理媒體轉碼服務(MTS)的許可權
媒體轉碼服務所有控制台操作和API
自訂授權策略
如果系統策略無法滿足您的需求,您可以通過建立自訂策略實現精微調權限管理,更多資訊和具體操作,請參見自訂授權。
常用授權
此處介紹一些ApsaraVideo for Live常用的授權操作。
若建立的RAM帳號需要使用直播服務,需要授權系統內建AliyunLiveFullAccess授權策略或進行自訂授權。
若要將ApsaraVideo for Live的錄製檔案和截圖檔案儲存到使用者OSS的Bucket中,需要對直播服務Live授權訪問OSS,使用的是AliyunMTSDefaultRole角色。去授權。
說明正常情況下,開通直播服務時,您已自動授權“允許直播服務寫入使用者OSS”,因此直播錄製寫入您指定的bucket時不存在許可權問題。如果該許可權意外被刪除,可以再次進行授權操作。
需要通過ApsaraVideo for LiveAPI或控制台刪除儲存在OSS中的截圖檔案時,需要建立服務角色AliyunMTSVideoLifecycleRole,並精確授權AliyunMTSVideoLifecycleRolePolicy系統策略。具體操作,可參見在ApsaraVideo for Live控制台刪除截圖。
需要通過ApsaraVideo for LiveAPI或控制台刪除儲存在OSS中的錄製檔案時,需要建立服務角色AliyunMTSVideoLifecycleRole,並精確授權AliyunMTSVideoLifecycleRolePolicy系統策略。具體操作,可參見在ApsaraVideo for Live控制台刪除錄製檔案。