智能媒体服务：创建RAM用户并授权

操作步骤

1. 使用阿里云账号（主账号）或RAM管理员登录RAM控制台。

2. 在左侧导航栏，选择身份管理 > 用户。

3. 在用户页面，单击创建用户。

4. 在创建用户页面的用户账号信息区域，设置用户基本信息。

   • 登录名称：可包含英文字母、数字、半角句号（.）、短划线（-）和下划线（_），最多64个字符。

   • 显示名称：最多包含128个字符或汉字。

   • 标签：单击，然后输入标签键和标签值。为RAM用户绑定标签，便于后续基于标签的用户管理。

   说明

   单击添加用户，可以批量创建多个RAM用户。

5. 访问方式选中OpenAPI 调用访问。

6. 单击确定并完成手机验证，系统会自动生成RAM用户的AccessKey。

   

7. 单击操作列的复制，保存用户登录名称、登录密码、AccessKey等用户信息。

   重要

   请务必保存好登录密码和AccessKey信息（AccessKey ID和AccessKey Secret），否则后续无法查询。

8. 返回用户列表页面，单击已创建RAM用户操作列的添加权限。

9. 在新增授权面板，为RAM用户添加权限。

   1. 选择授权应用范围。

      资源范围选择账号级别，智能媒体服务暂不支持指定资源组授权。关于资源组详情，请参见资源目录、资源组与标签的区别和联系。

   2. 输入授权主体。
      授权主体即需要授权的RAM用户，系统会自动填入当前的RAM用户，您也可以添加其他RAM用户。

   3. 选择权限策略。

      • 使用系统策略

        在系统策略下输入框中输入AliyunICE，根据实际需求选择筛选出的权限策略。

        权限策略	描述	OpenAPI调用权限
        AliyunICEFullAccess	管理和操作IMS所有资源的权限。	可以调用智能媒体服务所有的OpenAPI。
        AliyunICEReadOnlyAccess	只读访问IMS所有资源的权限。	可以调用智能媒体服务所有读取类的OpenAPI，例如Get、Describe、Search、List开头的接口。

      • 使用自定义策略

        在自定义策略下根据实际需求选择权限策略。如果没有可用的自定义权限策略， 单击新建权限策略，详情请参见创建自定义权限策略、自定义策略示例。

      说明

      • 每次最多绑定5条策略，如需绑定更多策略，请分次操作。

      • 为控制风险，建议采用最小权限原则。

      • 如果需要使用智能媒体服务端侧（iOS或Android）SDK，由于需要将文件上传到OSS上，因此需要增加OSS的权限，即AliyunOSSFullAccess，或者您可以根据实际情况自定义OSS的权限策略。

   4. 单击确定新增授权，完成用户授权。

10. 可选：如果RAM账号需要控制台登录权限，请参见启用控制台登录。

自定义策略示例

本文以“授予智能媒体服务部分资源的只读访问权限”为例进行参数字段详解，其他策略示例类似，不再重复。

• 授予智能媒体服务部分资源的只读访问权限

  {
    "Version": "1",
    "Statement": [
      {
        "Action": [
          "ice:GetMediaProducingJob",
          "ice:GetEditingProject",
          "ice:GetMediaInfo",
          "ice:ListMediaBasicInfos",
          "ice:SearchEditingProject"
        ],
        "Resource": "*",
        "Effect": "Allow",
        "Condition": {
          "IpAddress": {
            "acs:SourceIp": "192.168.0.1"
          }
        }
      }
    ]
  }

  参数字段说明：

  参数	必选	描述
  Version	是	定义了策略的版本，智能媒体服务中Version固定为1。
  Statement	是	可以根据业务场景包含多条语义，每条包含对Action、Resource、Effect和Condition的描述。
  Action	是	支持的Action操作与OpenAPI对应，格式为ice:API名称，多个使用英文逗号分隔。通过指定授权的Action列表，可以组合出对应的权限分组。
  Resource	是	表示智能媒体服务某个具体的资源或某些资源（支持通配符*），Resource的规则是acs:ice:<regionId>:<accountId>:*。Resource也可以为列表，表示有多个Resource。其中regionId字段暂不支持，请设置为*。由于智能媒体服务现在没有进一步区分资源，因此建议授权媒资库资源时Resource填*或acs:ice:*:*:*。
  Effect	是	授权效果，包括允许（Allow）和拒绝（Deny）。每次请求时，系统会逐条依次匹配检查，所有匹配成功的Statement会根据Effect的值，如果匹配成功的都为Allow，则该条请求允许访问；如果匹配成功有一条为Deny，或者没有任何条目匹配成功，则该条请求禁止访问。 重要 当权限策略中同时包含Allow和Deny时，遵循Deny优先原则。
  Condition	否	表示策略授权的一些条件，可以对访问来源等进行限制，详情请参见条件（Condition）。

• 授予智能媒体服务所有资源的只读访问权限

  {
    "Version": "1",
    "Statement": [
      {
        "Action": [
          "ice:Get*",
          "ice:List*",
          "ice:Search*",
          "ice:Describe*"
        ],
        "Resource": "acs:ice:*:*:*",
        "Effect": "Allow"
      }
    ]
  }

• 授予智能媒体服务完整权限（包含写权限）

  {
    "Statement": [
      {
        "Effect": "Allow",
        "Action": "ice:*",
        "Resource": "acs:ice:*:*:*"
      }
    ],
    "Version": "1"
  }