全部产品
Search
文档中心

智能媒体管理:为项目配置服务角色

更新时间:Oct 29, 2024

在创建IMM项目时,需要为项目设置服务角色,以便IMM服务能够以该角色访问您已授权的其他云资源,例如阿里云对象存储(OSS)。本文将介绍如何配置服务角色并进行授权。

警告

当您创建服务角色、创建项目、更改项目服务角色时,均需拥有该角色内的全部权限,否则会因为权限不足导致操作失败,请谨慎操作。

一、创建服务角色并授权

授权默认服务角色

  1. 在首次新建项目时,请按照以下步骤进行云资源访问授权。

image

  1. 云资源访问授权页面查看默认授权角色AliyunIMMDefaultRole的信息,单击同意授权

授权角色创建后,可以通过RAM控制台进行精细的授权控制。

image

警告

请注意,AliyunIMMDefaultRole 具有较高的 OSS 访问权限,当您的子账号拥有 IMM 的 CreateProject / UpdateProject 等权限时,可以通过绑定 AliyunIMMDefaultRole 并结合建立元数据索引功能,来列出或分析您的 OSS 文件信息。如需精确限制此权限,请参考创建自定义服务角色

创建自定义服务角色

您可以通过RAM控制台配置服务角色进行授权,具体操作,请参见创建服务关联角色

  1. 可信实体类型选择阿里云服务

    创建角色.png

  2. 填写角色名称,选择角色类型受信服务角色类型选择普通服务角色,受信服务选择智能媒体管理

    创建角色2.png

  3. 点击完成按钮,成功创建自定义服务角色。

    创建角色3.png

  4. 通过RAM控制台成功配置授权后,该RAM角色没有任何权限,您可以为该RAM角色授权,请根据使用场景至少授予OSS和MNS相关的权限。

    可通过RAM控制台创建权限策略,使用脚本编辑方式创建权限策略。

    创建权限策略.png

    以下权限策略限制只能使用名称为“my-bucket”的OSS Bucket。复制使用时请修改Bucket名称。

    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "oss:Get*",
                    "oss:List*",
                    "oss:PutBucketLifecycle",
                    "oss:PutBucketNotification",
                    "oss:DeleteBucketNotification",
                    "oss:PutBucketAcl",
                    "oss:PutObjectAcl",
                    "oss:CopyObject",
                    "oss:AppendObject",
                    "oss:PutSymlink",
                    "oss:PutObject",
                    "oss:StartEventRecord",
                    "oss:StopEventRecord",
                    "oss:GetEventRecordStatus"
                ],
                "Resource": "acs:oss:*:*:my-bucket/*",
                "Effect": "Allow"
            },
            {
                "Action":"mns:*",
                "Resource": "*",
                "Effect": "Allow"
            },
            {
                "Action": "ram:PassRole",
                "Resource": "*",
                "Effect": "Allow",
                "Condition": {
                    "StringEquals": {
                        "acs:Service": "imm.aliyuncs.com"
                    }
                }
            }
        ]
    }
  5. 为服务角色授权创建的权限策略,具体操作,请参见为RAM角色授权

    为角色授权.png

二、使用服务角色

服务角色创建完成后,刷新服务角色输入框后的图标,即可选择使用新创建的服务角色来创建智能媒体管理项目,如下图所示。

使用服务角色.jpg

三、修改服务角色权限(可选)

您可以通过RAM控制台修改角色的权限,具体操作,请参见为RAM角色授权

修改服务角色的权限时,请根据使用情况至少授予OSS、MNS相关的权限,否则可能由于没有相关权限,导致接口调用失败。