多应用体系支持将同一账号下多个使用方的资源、配置和数据进行隔离。您可以通过API管理应用,对身份实体进行授权。本文为您介绍多应用体系的使用场景、使用限制,以及应用管理和授权。
多应用体系简介
使用点播服务时,会有需要将同一账号下多个使用方的资源、配置和数据进行隔离的场景,多个使用方包括多个环境、多个业务或多个渠道。
阿里云视频点播构建了多应用体系,可以满足多个使用方的相互隔离。多应用体系默认为关闭状态,您可以申请开通并完成相关配置,还可结合RAM访问控制实现分权限管理。具体操作,请参见使用多应用体系。
使用场景
多个环境隔离:
测试环境和线上环境需要资源隔离(如视频、图片等),或配置、数据等的隔离(如分别配置不同的消息回调地址),可以使用多应用体系,为每个环境创建不同的应用,并关联不同的RAM子账号、授予相应权限,以免开发、测试时影响线上。
多个业务隔离:
同一公司有多条业务线或者多个部门都需要使用点播服务,可以使用多应用来做到相互隔离,为每个业务或部门创建不同的应用。
多个渠道隔离:
如果想基于点播服务的某些能力构建平台化服务,面向多个渠道或多个客户,也可以使用多应用体系。
使用限制
同一账号最多可以创建10个应用,如有更高需求,请填写宜搭信息申请。
暂时只支持媒体上传、音视频播放、媒资管理、消息回调的多应用隔离。
多应用暂时只是元数据层面而非物理存储上的隔离,故不支持每个应用的单独计费,后续会逐步支持域名、存储等的物理隔离。
暂不支持在中国香港地域使用多应用体系。
应用管理
应用类型
开启多应用后,您可以创建新的自定义应用,但为确保新老数据的兼容,点播服务提供了系统默认应用的概念,且默认应用不可删除。
应用类型
应用说明
关联资源
权限管理说明
System
系统默认应用
旧数据都在默认应用下,新创建数据若未指定也会关联到默认应用
为不影响您的现有业务,主账号下的身份实体(RAM用户或角色)都拥有其系统默认应用的权限,也可由主账号撤销其授权
Custom
用户自定义应用
初始资源为空,可新创建数据时关联到该应用,也可迁移旧数据到该应用
主账号下的身份实体只有授予权限后才能访问该应用下的资源
应用ID
系统默认应用的ID为
app-1000000用户自定义应用的ID形式为
app-xxxxxxx
说明可通过获取应用信息列表接口查询到应用ID列表。
管理方式
您可以通过调用多应用体系的接口,创建、查询、更新和删除应用。控制台后续会支持多应用的管理。
账号授权
阿里云的账号体系主要分为:阿里云账号(主账号)、RAM用户、RAM角色等,您可以为指定的身份实体(RAM用户或RAM角色)授予相关应用访问权限。
权限策略
目前视频点播开放了三种应用授权策略,可以对身份实体进行授权。
策略名称
说明
范围
操作权限
VODAppAdministratorAccess
应用管理员权限
所有应用
管理主账号下的所有应用及应用下所有资源的权限
VODAppFullAccess
管理和操作应用下所有资源的权限
单个应用
指定应用下的所有资源
VODAppReadOnlyAccess
只读访问应用下所有资源的权限
单个应用
指定应用下的所有资源的读操作,如调用以Get、Describe、Search、List开头的接口操作应用下的资源
主账号权限
主账号拥有应用管理员的权限(VODAppAdministratorAccess),且不可更改自己的权限(如撤销应用授权)。应用管理员权限如下:
可以创建、删除、修改、查询主账号下的所有应用。
可以创建、删除、修改、查询各应用下的所有资源、配置和数据。
可以对主账号下的身份实体(RAM用户或角色)进行应用授权和撤销授权,但不可撤销自己的管理员权限。
RAM用户或角色权限
RAM用户或角色要使用点播多应用,需要先由主账号在RAM访问控制里授予其VODFullAccess权限,更细粒度的点播资源权限需要使用多应用管理。即,该身份实体拥有的权限是RAM权限和点播多应用权限的交集。
为确保开通多应用后服务能新旧兼容,RAM用户或角色都拥有系统默认应用的完全权限(VODAppFullAccess),应用管理员可以对其撤销或重新授权。
可查询已授权的应用信息列表,授予某个应用的权限后,可对该应用下的资源(媒资、消息回调配置等)进行相关操作。
如被授予应用管理员权限(VODAppAdministratorAccess),则可管理主账号下的所有应用和资源。
如要跨应用迁移资源,则需要同时拥有两个应用的资源读写权限。
授权方式
您可以对身份实体附加或撤销应用授权。相关API,请参见多应用体系,控制台后续会支持多应用的授权。