媒体处理服务通过使用AccessKey,可以验证操作请求发送者的身份,有效阻止非法请求。通过阅读本文,您可以了解各类型AccessKey的基本概念和差异。
AccessKey说明
媒体处理服务会对每一次发起操作请求的用户身份进行验证,通过AccessKey验证该账号是否拥有相应的权限。
AccessKey相关概念
AccessKey(访问密钥,简称AK),是访问阿里云API的密钥,在用户发起API调用请求时对用户身份及账号权限进行验证。AK包含AccessKey ID和AccessKey Secret,需要一起使用。
AccessKey ID:用于标识用户。
AccessKey Secret:用于验证用户的密钥。AccessKey Secret必须保密。
说明AccessKey Secret只在创建时显示,不支持查询,请妥善保管。(创建AK后及时下载csv文件,或复制将信息保存)
AccessKey类型
阿里云账号AccessKey
指媒体处理服务开通者的AccessKey,每个阿里云账号AccessKey对所属账号拥有的资源既有完全的权限,且最多拥有5组AccessKey(包含启用和禁用)。您可以登录AccessKey控制台新增或删除AccessKey。每组AccessKey都有启用和禁用两种状态,只有启用的AccessKey才能在身份验证时使用。
由于阿里云账号AccessKey具有账户的完全权限,一旦泄露风险巨大,不推荐使用。建议您使用RAM用户的AccessKey进行媒体处理相关服务调用。
RAM用户AccessKey
RAM是阿里云提供的资源访问控制服务。通过RAM,您可以集中管理您的用户(例如:员工、系统或应用程序等),以及控制用户可以访问您名下哪些资源的权限。
RAM用户AccessKey是指通过RAM被授权的AccessKey,这组AccessKey只能按照RAM定义的规则去访问媒体处理服务。每个RAM用户最多允许创建2组AccessKey(包含启用和禁用)。RAM用户从属于主账号,RAM用户不能拥有实际的任何资源,所有资源都属于主账号。您可以登录RAM控制台创建RAM用户并授予相应权限,详情请参见创建RAM用户并授权。
STS临时AccessKey
STS是指阿里云提供的临时访问凭证服务。STS临时AccessKey是指通过STS颁发带时效性的AccessKey,这组AccessKey只能按照STS定义的规则去访问媒体处理服务资源,且会定期失效。您可以登录RAM控制台创建RAM角色并进行STS授权。
不同验证方式对比
验证方式 | 风险 | 权限 | 时效 | 适用场景 |
阿里云账号AccessKey | 极大 | 管理和操作MPS所有资源的权限 | 启用后一直有效 | 超级管理员进行操作,不建议在程序里使用,尤其不要放到客户端。 |
RAM用户AccessKey | 较大 | 根据授权策略获得相应的权限 | 启用后一直有效 | 授权进行具体的转码、截图、等操作,可准备多个子账号,如果AccessKey泄露(例如,人员离职等)需要更换,建议在服务端使用。 |
STS临时AccessKey | 安全 | 根据授权策略获得相应的权限 | 自定义过期时间 | 移动端或Web端使用,需要您自己部署服务端生成STS临时AccessKey,且要处理好临时AccessKey失效的情况。 |
权限策略说明
使用媒体处理MPS,您必须授权的产品为媒体处理MPS、对象存储OSS,可选授权的产品为轻量消息队列(原 MNS)、播放加速CDN。其中,媒体处理MPS必须使用系统策略授权,其他产品支持系统策略或创建自定义策略。
所需授权产品 | 说明 | 是否必选 | 使用系统策略 | 使用自定义策略 |
媒体处理MPS | 使用媒体处理必须授予MTS全部权限 | 是 | MPS全部读写权限:AliyunMTSFullAccess | 不支持 |
对象存储OSS | 使用媒体处理必须授予OSS读写权限 | 是 | OSS全部读写权限:AliyunOSSFullAccess | 支持,请参见下文先创建,再授权 |
轻量消息队列(原 MNS) | 若使用轻量消息队列(原 MNS)订阅任务信息则必须授予MNS权限 | 否,可选 | MNS全部读写权限:AliyunMNSFullAccess | |
播放加速CDN | 若使用媒体处理配置播放加速则必须授予CDN权限 | 否,可选 | CDN全部读写权限:AliyunCDNFullAccess |
如果系统授权策略无法满足您个性化的授权需求,可以进行自定义授权策略。具体操作,请参见创建RAM用户并授权。