如果ApsaraVideo for VOD的系統權限原則不能滿足您的需求,您可以通過建立自訂權限原則實現精微調權限管理,例如僅允許指定使用者訪問ApsaraVideo for VOD中的資源、僅授予使用媒體審核的許可權等。
建立方式
RAM提供所見即所得 (WYSIWYG)的可視化編輯介面,您只需選擇效果、雲端服務、操作、資源和條件,就可以產生自訂權限原則。同時,提供的智能校正功能,協助您提高權限原則的正確性和有效性。該方式操作簡單,易於上手。
RAM提供JSON指令碼編輯介面,您需要按照權限原則文法和結構編寫自訂權限原則。該方式使用靈活,適用於對權限原則文法比較熟悉的使用者。
匯入原則範本:基於長期的業務實踐,RAM提供了常見情境的權限原則模板。例如:系統管理員、財務人員、網路系統管理員等。您只需要匯入合適的權限原則模板,然後基於模板進行簡單修改,就能一鍵輕鬆建立自訂策略。
匯入系統策略:您可以通過匯入一個系統原則範本,然後基於正常化的系統原則範本修改適合實際業務的內容,更加方便快捷地建立自訂權限原則。
如何建立
下述樣本以指令碼配置方式舉例說明。
前提條件
當採用指令碼配置方式自訂授權時,請務必先瞭解權限原則的基本元素和文法結構,請參見權限原則基本元素和權限原則文法和結構。
操作步驟
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊指令碼編輯頁簽。
輸入權限原則內容,然後單擊繼續編輯基本資料。
關於權限原則文法結構的詳情,請參見權限原則文法和結構。
輸入權限原則名稱和備忘。
檢查並最佳化權限原則內容。
基礎權限原則最佳化
系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務:
刪除不必要的條件。
刪除不必要的數組。
可選:進階權限原則最佳化
您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:
拆分不相容操作的資源或條件。
收縮資源到更小範圍。
去重或合并語句。
單擊確定。
自訂權限原則內容樣本
下述樣本中Action
下列舉的API操作名稱請從ApsaraVideo for VODAPI概覽或Object Storage Service API概覽中擷取。
禁止上傳Object ACL許可權為公用讀取的檔案到OSS自有Bucket中
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"oss:PostObject",
"oss:CopyObject",
"oss:AppendObject",
"oss:InitiateMultipartUpload",
"oss:MultipartUpload",
"oss:UploadPart",
"oss:UploadPartCopy",
"oss:PutObjectAcl",
"oss:PutObject"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"oss:x-oss-object-acl": [
"public-read-write",
"public-read"
]
}
}
}
]
}
只允許IP來源為192.168.XX.XX的要求者訪問播放介面
{
"Version": "1",
"Statement": [
{
"Action": [
"vod:GetPlayInfo",
"vod:GetVideoPlayAuth",
"vod:GetVideoPlayInfo",
"vod:GetVideoInfo"
],
"Resource": "*",
"Effect": "Allow",
"Condition":
{
"IpAddress":
{
"acs:SourceIp": "192.168.XX.XX"
}
}
}
]
}
授予使用媒體審核的許可權
為保證許可權完整性,當媒體審核功能的API分組下增加了新的介面時,您需要同步更新下述樣本中的Action
列表。
{
"Version": "1",
"Statement": [
{
"Action": [
"vod:SetAuditSecurityIp",
"vod:ListAuditSecurityIp",
"vod:CreateAudit",
"vod:GetAuditHistory",
"vod:SubmitAIMediaAuditJob",
"vod:GetAIMediaAuditJob",
"vod:GetMediaAuditResult",
"vod:GetMediaAuditResultDetail",
"vod:GetMediaAuditResultTimeline"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
授予使用雲剪輯的許可權
為保證許可權完整性,當媒體審核功能的API分組下增加了新的介面時,您需要同步更新下述樣本中的Action
列表。
{
"Version": "1",
"Statement": [
{
"Action": [
"vod:ProduceEditingProjectVideo",
"vod:AddEditingProject",
"vod:UpdateEditingProject",
"vod:DeleteEditingProject",
"vod:GetEditingProject",
"vod:SearchEditingProject",
"vod:SetEditingProjectMaterials",
"vod:GetEditingProjectMaterials"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
相關參考
更多關於權限原則的內容請參見權限原則管理。
建立自訂權限原則後,可以為RAM使用者或RAM使用者組進行授權,具體操作請參見為RAM使用者授權、為RAM使用者組授權。