ApsaraVideo for Media Processing服務通過使用AccessKey,可以驗證操作請求寄件者的身份,有效阻止非法請求。通過閱讀本文,您可以瞭解各類型AccessKey的基本概念和差異。
AccessKey說明
ApsaraVideo for Media Processing服務會對每一次發起操作請求的使用者身份進行驗證,通過AccessKey驗證該帳號是否擁有相應的許可權。
AccessKey相關概念
AccessKey(存取金鑰,簡稱AK),是訪問阿里雲API的密鑰,在使用者發起API調用請求時對使用者身份及帳號許可權進行驗證。AK包含AccessKey ID和AccessKey Secret,需要一起使用。
AccessKey ID:用於標識使用者。
AccessKey Secret:用於驗證使用者的密鑰。AccessKey Secret必須保密。
說明AccessKey Secret只在建立時顯示,不支援查詢,請妥善保管。(建立AK後及時下載csv檔案,或複製將資訊儲存)
AccessKey類型
阿里雲帳號AccessKey
指ApsaraVideo for Media Processing服務開通者的AccessKey,每個阿里雲帳號AccessKey對所屬帳號擁有的資源既有完全的許可權,且最多擁有5組AccessKey(包含啟用和禁用)。您可以登入AccessKey控制台新增或刪除AccessKey。每組AccessKey都有啟用和禁用兩種狀態,只有啟用的AccessKey才能在身分識別驗證時使用。
由於阿里雲帳號AccessKey具有賬戶的完全許可權,一旦泄露風險巨大,不推薦使用。建議您使用RAM使用者的AccessKey進行ApsaraVideo for Media Processing相關服務調用。
RAM使用者AccessKey
RAM是阿里雲提供的資源存取控制服務。通過RAM,您可以集中管理您的使用者(例如:員工、系統或應用程式等),以及控制使用者可以訪問您名下哪些資源的許可權。
RAM使用者AccessKey是指通過RAM被授權的AccessKey,這組AccessKey只能按照RAM定義的規則去訪問ApsaraVideo for Media Processing服務。每個RAM使用者最多允許建立2組AccessKey(包含啟用和禁用)。RAM使用者從屬於主帳號,RAM使用者不能擁有實際的任何資源,所有資源都屬於主帳號。您可以登入RAM控制台建立RAM使用者並授予相應許可權,詳情請參見建立RAM使用者並授權。
STS臨時AccessKey
STS是指阿里雲提供的臨時訪問憑證服務。STS臨時AccessKey是指通過STS頒髮帶時效性的AccessKey,這組AccessKey只能按照STS定義的規則去訪問ApsaraVideo for Media Processing服務資源,且會定期失效。您可以登入RAM控制台建立RAM角色並進行STS授權。
不同驗證方式對比
驗證方式 | 風險 | 許可權 | 時效 | 適用情境 |
阿里雲帳號AccessKey | 極大 | 管理和操作MPS所有資源的許可權 | 啟用後一直有效 | 超級管理員進行操作,不建議在程式裡使用,尤其不要放到用戶端。 |
RAM使用者AccessKey | 較大 | 根據授權策略獲得相應的許可權 | 啟用後一直有效 | 授權進行具體的轉碼、截圖、等操作,可準備多個子帳號,如果AccessKey泄露(例如,人員離職等)需要更換,建議在服務端使用。 |
STS臨時AccessKey | 安全 | 根據授權策略獲得相應的許可權 | 自訂到期時間 | 移動端或Web端使用,需要您自己部署服務端產生STS臨時AccessKey,且要處理好臨時AccessKey失效的情況。 |
權限原則說明
使用ApsaraVideo for Media Processing,您必須授權的產品為ApsaraVideo for Media Processing、Object Storage Service,可選授權的產品為Message ServiceMNS、播放加速CDN。其中,ApsaraVideo for Media Processing必須使用系統策略授權,其他產品支援系統策略或建立自訂策略。
所需授權產品 | 說明 | 是否必選 | 使用系統策略 | 使用自訂策略 |
ApsaraVideo for Media Processing | 使用ApsaraVideo for Media Processing必須授予MTS全部許可權 | 是 | MPS全部讀寫權限:AliyunMTSFullAccess | 不支援 |
Object Storage Service | 使用ApsaraVideo for Media Processing必須授予OSS讀寫權限 | 是 | OSS全部讀寫權限:AliyunOSSFullAccess | 支援,請參見下文先建立,再授權 |
Message ServiceMNS | 若使用Message ServiceMNS訂閱任務資訊則必須授予MNS許可權 | 否,可選 | MNS全部讀寫權限:AliyunMNSFullAccess | |
播放加速CDN | 若使用ApsaraVideo for Media Processing配置播放加速則必須授予CDN許可權 | 否,可選 | CDN全部讀寫權限:AliyunCDNFullAccess |
如果系統授權策略無法滿足您個人化的授權需求,可以進行自訂授權策略。具體操作,請參見建立RAM使用者並授權。