在创建IMM项目时,需要为项目设置服务角色,以便IMM服务能够以该角色访问您已授权的其他云资源,例如阿里云对象存储(OSS)。本文将介绍如何配置服务角色并进行授权。
警告
当您创建服务角色、创建项目、更改项目服务角色时,均需拥有该角色内的全部权限,否则会因为权限不足导致操作失败,请谨慎操作。
一、创建服务角色并授权
授权默认服务角色
在首次新建项目时,请按照以下步骤进行云资源访问授权。
在云资源访问授权页面查看默认授权角色AliyunIMMDefaultRole的信息,单击同意授权。
授权角色创建后,可以通过RAM控制台进行精细的授权控制。
创建自定义服务角色
您可以通过RAM控制台配置服务角色进行授权,具体操作,请参见创建服务关联角色。
可信实体类型选择阿里云服务
填写角色名称,选择角色类型和受信服务,角色类型选择普通服务角色,受信服务选择智能媒体管理。。
点击完成按钮,成功创建自定义服务角色。
通过RAM控制台成功配置授权后,该RAM角色没有任何权限,您可以为该RAM角色授权,请根据使用场景至少授予OSS和MNS相关的权限。
可通过RAM控制台创建权限策略,使用脚本编辑方式创建权限策略。
以下权限策略限制只能使用名称为“my-bucket”的OSS Bucket。复制使用时请修改Bucket名称。
{ "Version": "1", "Statement": [ { "Action": [ "oss:Get*", "oss:List*", "oss:PutBucketLifecycle", "oss:PutBucketNotification", "oss:DeleteBucketNotification", "oss:PutBucketAcl", "oss:PutObjectAcl", "oss:CopyObject", "oss:AppendObject", "oss:PutSymlink", "oss:PutObject", "oss:StartEventRecord", "oss:StopEventRecord", "oss:GetEventRecordStatus" ], "Resource": "acs:oss:*:*:my-bucket/*", "Effect": "Allow" }, { "Action":"mns:*", "Resource": "*", "Effect": "Allow" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "acs:Service": "imm.aliyuncs.com" } } } ] }
为服务角色授权创建的权限策略,具体操作,请参见为RAM角色授权。
二、使用服务角色
服务角色创建完成后,刷新服务角色输入框后的图标,即可选择使用新创建的服务角色来创建智能媒体管理项目,如下图所示。
三、修改服务角色权限(可选)
您可以通过RAM控制台修改角色的权限,具体操作,请参见为RAM角色授权。
修改服务角色的权限时,请根据使用情况至少授予OSS、MNS相关的权限,否则可能由于没有相关权限,导致接口调用失败。