RAM授权 - 图像搜索

使用RAM账号访问图像搜索服务前，您需要先给RAM账号授权。本文介绍如何为RAM账号授予图像搜索权限。

背景信息

访问控制RAM（Resource Access Management）是阿里云提供的一项管理用户身份与资源访问权限的服务。使用RAM，您可以创建、管理RAM用户（例如员工、系统或应用程序），并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源时，使用RAM可以让您避免与其他用户共享云账号密钥，按需为用户分配最小权限，从而降低企业信息安全风险。

简介

使用RAM账号访问图搜服务时，需要对RAM账号进行授权。包括如下两种方式：

通用权限策略。
自定义权限策略。

建议直接授予通用权限策略，可以避免配置复杂。如果通用权限策略无法满足您的需求，您可以使用自定义权限策略。

RAM支持的区域

图像搜索RAM支持的区域如下。

地域	RegionId
亚太东南1（新加坡）	ap-southeast-1
中国香港	cn-hongkong
亚太东北 1（东京）	ap-northeast-1
欧洲中部 1（法兰克福）	eu-central-1

通用权限策略

系统提供如下两种通用权限策略，请根据需求进行选择：

AliyunImageSearchReadOnlyAccess：只读访问图像搜索的权限，可用于只读用户。
AliyunImageSearchFullAccess：管理图像搜索的权限，可用于管理员。

操作步骤如下：

使用阿里云账号（主账号）或RAM管理员登录RAM控制台。
在左侧导航栏，选择权限管理 > 授权。
在授权页面，单击新增授权。
在新增授权面板，为RAM用户添加权限。
1. 选择授权应用范围。
  - 整个云账号：权限在当前阿里云账号内生效。
  - 指定资源组：权限在指定的资源组内生效。
    说明
    指定资源组授权生效的前提是该云服务已支持资源组，详情请参见支持资源组的云服务。资源组授权示例，请参见使用资源组限制RAM用户管理指定的ECS实例。
2. 指定授权主体。
  授权主体即需要添加权限的RAM用户。
3. 选择权限策略。
  权限策略是一组访问权限的集合，包括：
  - 系统策略：由阿里云创建，策略的版本更新由阿里云维护，用户只能使用不能修改。更多信息，请参见支持RAM的云服务。
  - 自定义策略：由用户管理，策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息，请参见创建自定义权限策略。
  说明
  每次最多绑定5条策略，如需绑定更多策略，请分多次操作。
单击确定。
单击完成。

自定义权限策略

图像搜索支持仅且支持instance一种资源类型，通过RAM授权时资源描述方式如下：

资源类型：instance
授权策略中资源描述方式：acs:imagesearch:$regionid:$accountid:instance/$instance
- $regionid：地域信息。如果不支持该项，可以使用通配符*来代替。
- $accountid：阿里云主账号ID。例如：123456789012****，可以用*代替。
- $instance：实例名称。比如demo123，可以使用*代替。

表 1. 不同资源对应的Actions权限
资源	Action
instance/*	Action权限名称及描述如下： ClearInstance：清空实例。 DescribeInstance：查看实例详情。 IncreaseInstance：触发实例增量。 InitInstance：初始化实例。 RemoveInstance：删除实例。 ListInstance：查看实例列表。 SearchItem：搜索商品或图片。 DeleteItem：删除商品或图片。 AddItem：添加商品或图片。 ListIncrement：查看实例增量。 TagResources：增加标签。 UntagResources：删除标签。
instance/$instance	Action权限名称及描述如下： ClearInstance：清空实例。 DescribeInstance：查看实例详情。 IncreaseInstance：触发实例增量。 InitInstance：初始化实例。 RemoveInstance：删除实例。 SearchItem：搜索商品或图片。 SearchImage：搜索商品或图片。 SearchImageByPic：搜索商品或图片。 SearchImageByName：根据名称搜索商品或图片。 DeleteItem：删除商品或图片。 DeleteImage：删除商品或图片。 AddItem：添加商品或图片。 AddImage：添加商品或图片。 UpdateImage：修改商品或图片。 ListIncrement：查看实例增量。 TagResources：增加标签。 UntagResources：删除标签。 IncreaseInstance：批量操作。 IncreaseList：查询批量任务。 Detail：实例状态。 DumpMeta：元数据导出。 DumpMetaList：查询元信息导出任务。

操作步骤如下：

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择权限管理 > 权限策略。
在权限策略页面，单击创建权限策略。
在创建权限策略页面，单击脚本编辑页签。
输入权限策略内容，然后单击继续编辑基本信息。
关于权限策略语法结构的详情，请参见权限策略语法和结构。
输入权限策略名称和备注。
检查并优化权限策略内容。
- 基础权限策略优化
  系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务：
  - 删除不必要的条件。
  - 删除不必要的数组。
- 可选：高级权限策略优化
  您可以将鼠标悬浮在可选：高级策略优化上，单击执行，对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务：
  - 拆分不兼容操作的资源或条件。
  - 收缩资源到更小范围。
  - 去重或合并语句。
单击确定。

自定义权限策略样例

参考样例一

权限内容要求如下：

子账号所属主账号ID为1234。
华东2地域。
所有实例。
控制台除清空和删除之外所有操作权限。
指定IP可以访问。

具体策略内容如下

{
  "Statement": [
   {
     "Action": [
       "imagesearch:ListInstance",
       "imagesearch:DescribeInstance",
       "imagesearch:IncreaseInstance",
       "imagesearch:InitInstance",
       "imagesearch:SearchItem",
       "imagesearch:AddItem",
       "imagesearch:TagResources",
       "imagesearch:ListIncrement"
     ],
     "Condition": {
       "IpAddress": {
         "acs:SourceIp": "xxx.xx.xxx.x/xx"
       }
     },
     "Effect": "Allow",
     "Resource": "acs:imagesearch:cn-shanghai:1234:instance/*"
   }
  ],
  "Version": "1"
}

参考样例二

权限内容要求如下：

子账号所属主账号ID为1234。
所有地域。
所有实例。
控制台及API所有操作权限。

具体策略内容如下。

{
  "Statement": [
   {
     "Action": [
         "imagesearch:*"
           ],
     "Effect": "Allow",
     "Resource": "acs:imagesearch:*:1234:instance/*"
   }
  ],
  "Version": "1"
}

参考样例三

权限内容要求如下：

子账号所属主账号ID为1234。
所有地域。
实例名称为instance12138
所有操作权限。

具体策略内容如下。

{
  "Statement": [
   {
     "Action": [
         "imagesearch:*"
           ],
     "Effect": "Allow",
     "Resource": "acs:imagesearch:*:1234:instance/instance12138"
   }
  ],
  "Version": "1"
}