全部產品
Search

搜尋本產品

    :建立RAM使用者並授權

    文件中心

    :建立RAM使用者並授權

    更新時間:Oct 25, 2024

    您可以建立RAM使用者並為其授權,實現不同RAM使用者擁有不同資源存取權限的目的。使用RAM使用者可以協助您有效避免AccessKey或者密碼泄露導致的安全問題。RAM使用者使用ApsaraVideo for Media Processing需要授權的產品包括:ApsaraVideo for Media Processing、Object Storage Service、存取控制RAM、內容分發CDN、Simple Message Queue (formerly MNS)。本文介紹如何建立一個RAM使用者,並授權使用ApsaraVideo for Media Processing所需的相應許可權。

    說明

    如果在使用MPS服務時許可權不足會導致報錯User not authorized to operate on the specified resource,請檢查您使用的RAM使用者是否擁有MPS的完整控制許可權,或按照下文內容申請RAM使用者權限。

    操作步驟

    1. 使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 使用者

    3. 使用者頁面,單擊建立使用者

    4. 建立使用者頁面的使用者帳號資訊地區,設定使用者基本資料。

      • 登入名稱稱:可包含英文字母、數字、半形句號(.)、短劃線(-)和底線(_),最多64個字元。

      • 顯示名稱:最多包含128個字元或漢字。

      • 標籤:單擊edit,然後輸入標籤鍵和標籤值。為RAM使用者綁定標籤,便於後續基於標籤的使用者管理。

      說明

      單擊添加使用者,可以大量建立多個RAM使用者。

    5. 訪問方式選中OpenAPI 呼叫訪問

    6. 單擊確定並完成手機驗證,系統會自動產生RAM使用者的AccessKey。

    7. 單擊操作列的複製,儲存使用者登入名稱稱、登入密碼、AccessKey等使用者資訊。

      重要

      請務必儲存好登入密碼和AccessKey資訊(AccessKey ID和AccessKey Secret),否則後續無法查詢。

    8. 返回使用者列表頁面,單擊已建立RAM使用者操作列的添加許可權

    9. 新增授權面板,配置授權資訊。

      1. 選擇授權應用範圍。

        類型

        說明

        整個雲帳號

        許可權在當前阿里雲帳號內生效。

        指定資源群組

        許可權在指定資源群組內生效。

      2. 輸入授權主體。

        授權主體即需要添加許可權的RAM使用者。

      3. 選擇權限原則。請參見權限原則說明,瞭解需要授權的產品及支援的權限原則。

        • 使用系統策略

          請在輸入框內輸入策略名稱稱進行搜尋,然後點擊結果中的名稱進行選擇。

        • 使用自訂策略

          使用自訂策略可讓您更精細化的管理帳號許可權,請先參見下文完成建立,再選擇許可權。具體操作,請參見建立自訂策略

    1. 單擊確認新增授權

    權限原則說明

    使用ApsaraVideo for Media Processing,您必須授權的產品為ApsaraVideo for Media Processing、Object Storage Service,可選授權的產品為Simple Message Queue (formerly MNS)、播放加速CDN。其中,ApsaraVideo for Media Processing必須使用系統策略授權,其他產品支援系統策略建立自訂策略

    所需授權產品

    說明

    是否必選

    使用系統策略

    使用自訂策略

    ApsaraVideo for Media Processing

    使用ApsaraVideo for Media Processing必須授予MTS全部許可權

    MPS全部讀寫權限:AliyunMTSFullAccess

    不支援

    Object Storage Service

    使用ApsaraVideo for Media Processing必須授予OSS讀寫權限

    OSS全部讀寫權限:AliyunOSSFullAccess

    支援,請參見下文先建立,再授權

    Simple Message Queue (formerly MNS)

    若使用Simple Message Queue (formerly MNS)訂閱任務資訊則必須授予MNS許可權

    否,可選

    MNS全部讀寫權限:AliyunMNSFullAccess

    播放加速CDN

    若使用ApsaraVideo for Media Processing配置播放加速則必須授予CDN許可權

    否,可選

    CDN全部讀寫權限:AliyunCDNFullAccess

    建立自訂策略

    1. 使用阿里雲帳號登入RAM控制台

    2. 在左側導覽列,選擇許可權管理 > 權限原則

    3. 單擊建立權限原則,選擇指令碼編輯頁簽。

    4. 設定權限原則。請填寫相關參數,填寫完成後單擊繼續編輯指令碼資訊

      參數

      說明

      策略內容

      選擇匯入系統策略,或將下文中您需要的策略代碼複製到代碼框中。

    1. 輸入名稱備忘等基本資料。

    2. 單擊確定完成自訂策略建立。

    限制訪問MPS的IP地址、時間段樣本

    • RAM使用者只能通過192.0.2.0/24和203.0.113.2這兩個IP地址訪問MPS。

    • RAM使用者只能在特定時間段(北京時間2019年8月12日17:00之前)訪問MPS。

    {
  "Version": "1",
    "Statement": [{
      "Effect": "Allow",
      "Action": [
        "mts:*",
        "mts-inner:*"
      ],
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "acs:SourceIp": [
            "192.0.2.0/24",
            "203.0.113.2"
          ]},
        "DateLessThan": {
          "acs:CurrentTime": "2019-08-12T17:00:00+08:00"
       }
     }
  ]
}

    OSS自訂策略樣本

    • 對指定的輸入、輸出Bucket有所有操作許可權。

    • 查看Bucket列表許可權。

    {    
  "Version": "1",
    "Statement": [{
      "Effect": "Allow",
      "Action": [
        "oss:ListBuckets"
      ],
      "Resource": "*"
    }, {
      "Effect": "Allow",
      "Action": [
        "oss:*"
      ],
      "Resource": [
        "acs:oss:*:*:$InputBucket",
        "acs:oss:*:*:$InputBucket/*",
        "acs:oss:*:*:$OutputBucket",
        "acs:oss:*:*:$OutputBucket/*
      ]
    }
  ]
}

    參數欄位說明:

    參數

    說明

    oss:ListBuckets

    是RAM帳號通過視覺化檢視操作OSS必備的許可權,RAM帳號登入後可查看到所有的Bucket列表。

    但是僅能操作後面賦權的$InputBucket和$OutputBucket這兩個Bucket。並且該許可權暫時僅支援賦權給所有的Bucket,不支援賦權給某個Bucket。

    oss:*

    代表OSS的所有許可權。您還可以按需替換為以下更具體的操作許可權。

    "oss:GetObject",

    "oss:PutObject",

    "oss:GetObjectAcl",

    "oss:PutObjectAcl",

    "oss:AbortMultipartUpload",

    "oss:ListParts",

    "oss:RestoreObject",

    "oss:GetVodPlaylist",

    "oss:PostVodPlaylist",

    "oss:PublishRtmpStream",

    "oss:ListObjectVersions",

    "oss:GetObjectVersion",

    "oss:GetObjectVersionAcl",

    "oss:RestoreObjectVersion"

    $InputBucket

    請替換成MPS輸入檔案所在Bucket。

    $OutputBucket

    請替換成MPS輸出檔案所在Bucket。

    更多樣本,請參見Bucket Policy常見樣本

    RAM授權策略樣本

    授權可查看角色的權限原則。

    {
  "Version": "1",
    "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ram:ListPoliciesForRole"
      ],
      "Resource": "*"
    }
  ]
}

    MNS自訂策略樣本

    • 授權可查看所有的Queue、Topic列表。

    • 但僅對指定的$QueueName,$TopicName有全部讀寫權限。

    {
  "Version": "1",
    "Statement": [{
      "Effect":"Allow",
      "Action":[
        "mns:ListQueue",
        "mns:ListTopic",
        "mns:GetQueueAttributes",
        "mns:GetTopicAttributes"
      ],
      "Resource":"acs:mns:*:*:*"
    }, {
      "Effect": "Allow",
      "Action": "mns:*",
      "Resource": [
        "acs:mns:$Region:$Uid:/queues/$QueueName", 
        "acs:mns:$Region:$Uid:/topics/$TopicName"
      ]
    }
  ]
}

    參數欄位說明:

    參數

    說明

    $QueueName

    MNS隊列名稱,在管道或工作流程上要綁定的隊列名稱。

    $TopicName

    MNS通知主題名稱,在管道或工作流程上要綁定的隊列名稱。

    更多樣本,請參見授權策略和樣本

    CDN授權策略樣本

    • 授權可查看所有的CDN加速網域名稱。

    • 但僅對指定的CDN加速網域名稱$DomainName有全部讀寫權限。

    {
  "Version": "1",
  "Statement": [{
        "Effect": "Allow",
        "Action": "cdn:*",
        "Resource": "acs:cdn:*:$Uid:domain/$DomainName"
        },{
        "Effect": "Allow",
        "Action": "cdn:Describe*",
        "Resource": "*"
      }
  ]
}

    參數欄位說明:

    參數

    說明

    $DomainName

    CDN加速網域名稱名稱。

    後續步驟

    建立RAM使用者並授權完成後,可以使用RAM使用者登入控制台。具體操作,請參見RAM使用者登入阿里雲控制台