多應用體系支援將同一帳號下多個使用方的資源、配置和資料進行隔離。您可以通過API管理應用,對身份實體進行授權。本文為您介紹多應用體系的使用情境、使用限制,以及應用管理和授權。
多應用體系簡介
使用點播服務時,會有需要將同一帳號下多個使用方的資源、配置和資料進行隔離的情境,多個使用方包括多個環境、多個業務或多個渠道。
阿里雲ApsaraVideo for VOD構建了多應用體系,可以滿足多個使用方的相互隔離。多應用體系預設為關閉狀態,您可以申請開通並完成相關配置,還可結合RAM存取控制實現分許可權管理。具體操作,請參見使用多應用體系。
使用情境
多個環境隔離:
測試環境和線上環境需要資源隔離(如視頻、圖片等),或配置、資料等的隔離(如分別配置不同的訊息回調地址),可以使用多應用體系,為每個環境建立不同的應用,並關聯不同的RAM子帳號、授予相應許可權,以免開發、測試時影響線上。
多個業務隔離:
同一公司有多條業務線或者多個部門都需要使用點播服務,可以使用多應用來做到相互隔離,為每個業務或部門建立不同的應用。
多個渠道隔離:
如果想基於點播服務的某些能力構建平台化服務,面向多個渠道或多個客戶,也可以使用多應用體系。
使用限制
同一帳號最多可以建立10個應用,如有更高需求,請填寫宜搭資訊申請。
暫時只支援媒體上傳、音視頻播放、媒資管理、訊息回調的多應用隔離。
多應用暫時只是中繼資料層面而非實體儲存體上的隔離,故不支援每個應用的單獨計費,後續會逐步支援網域名稱、儲存等的物理隔離。
暫不支援在中國香港地區使用多應用體系。
應用管理
應用類型
開啟多應用後,您可以建立新的自訂應用,但為確保新老資料的相容,點播服務提供了系統預設應用的概念,且預設應用不可刪除。
應用類型
應用說明
關聯資源
許可權管理說明
System
系統預設應用
舊資料都在預設應用下,新建立資料若未指定也會關聯到預設應用
為不影響您的現有業務,主帳號下的身份實體(RAM使用者或角色)都擁有其系統預設應用的許可權,也可由主帳號撤銷其授權
Custom
使用者自訂應用
初始資源為空白,可新建立資料時關聯到該應用,也可遷移舊資料到該應用
主帳號下的身份實體只有授予許可權後才能訪問該應用下的資源
應用ID
系統預設應用的ID為
app-1000000使用者自訂應用的ID形式為
app-xxxxxxx
說明可通過擷取應用資訊列表介面查詢到應用ID列表。
管理方式
您可以通過調用多應用體系的介面,建立、查詢、更新和刪除應用。控制台後續會支援多應用的管理。
帳號授權
阿里雲的帳號體系主要分為:阿里雲帳號(主帳號)、RAM使用者、RAM角色等,您可以為指定的身份實體(RAM使用者或RAM角色)授予相關應用存取權限。
權限原則
目前ApsaraVideo for VOD開放了三種應用授權策略,可以對身份實體進行授權。
策略名稱稱
說明
範圍
操作許可權
VODAppAdministratorAccess
應用管理員權限
所有應用
管理主帳號下的所有應用及應用下所有資源的許可權
VODAppFullAccess
管理和操作應用下所有資源的許可權
單個應用
指定應用下的所有資源
VODAppReadOnlyAccess
唯讀訪問應用下所有資源的許可權
單個應用
指定應用下的所有資源的讀操作,如調用以Get、Describe、Search、List開頭的介面操作應用下的資源
主帳號許可權
主帳號擁有應用管理員的許可權(VODAppAdministratorAccess),且不可更改自己的許可權(如撤銷應用授權)。應用管理員權限如下:
可以建立、刪除、修改、查詢主帳號下的所有應用。
可以建立、刪除、修改、查詢各應用下的所有資源、配置和資料。
可以對主帳號下的身份實體(RAM使用者或角色)進行應用授權和撤銷授權,但不可撤銷自己的管理員權限。
RAM使用者或角色許可權
RAM使用者或角色要使用點播多應用,需要先由主帳號在RAM存取控制裡授予其VODFullAccess許可權,更細粒度的點播資源許可權需要使用多應用管理。即,該身份實體擁有的許可權是RAM許可權和點播多應用許可權的交集。
為確保開通多應用後服務能新舊相容,RAM使用者或角色都擁有系統預設應用的完全許可權(VODAppFullAccess),應用管理員可以對其撤銷或重新授權。
可查詢已授權的應用資訊列表,授予某個應用的許可權後,可對該應用下的資源(媒資、訊息回調配置等)進行相關操作。
如被授予應用管理員權限(VODAppAdministratorAccess),則可管理主帳號下的所有應用和資源。
如要跨應用遷移資源,則需要同時擁有兩個應用的資源讀寫權限。
授權方式
您可以對身份實體附加或撤銷應用授權。相關API,請參見多應用體系,控制台後續會支援多應用的授權。