概述

多应用体系支持将同一账号下多个使用方的资源、配置和数据进行隔离。您可以通过API管理应用,对身份实体进行授权。本文为您介绍多应用体系的使用场景、使用限制,以及应用管理和授权。

多应用体系简介

使用点播服务时,会有需要将同一账号下多个使用方的资源、配置和数据进行隔离的场景,多个使用方包括多个环境、多个业务或多个渠道。

阿里云视频点播构建了多应用体系,可以满足多个使用方的相互隔离。多应用体系默认为关闭状态,您可以申请开通并完成相关配置,还可结合RAM访问控制实现分权限管理。具体操作,请参见使用多应用体系

使用场景

  • 多个环境隔离:

    测试环境和线上环境需要资源隔离(如视频、图片等),或配置、数据等的隔离(如分别配置不同的消息回调地址),可以使用多应用体系,为每个环境创建不同的应用,并关联不同的RAM子账号、授予相应权限,以免开发、测试时影响线上。

  • 多个业务隔离:

    同一公司有多条业务线或者多个部门都需要使用点播服务,可以使用多应用来做到相互隔离,为每个业务或部门创建不同的应用。

  • 多个渠道隔离:

    如果想基于点播服务的某些能力构建平台化服务,面向多个渠道或多个客户,也可以使用多应用体系。

使用限制

  • 同一账号最多创建10个应用,如需求更多,请提交工单申请提高。

  • 暂时只支持媒体上传、音视频播放、媒资管理、消息回调的多应用隔离。

  • 多应用暂时只是元数据层面而非物理存储上的隔离,故不支持每个应用的单独计费,后续会逐步支持域名、存储等的物理隔离。

应用管理

  • 应用类型

    开启多应用后,您可以创建新的自定义应用,但为确保新老数据的兼容,点播服务提供了系统默认应用的概念,且默认应用不可删除。

    应用类型

    应用说明

    关联资源

    权限管理说明

    System

    系统默认应用

    旧数据都在默认应用下,新创建数据若未指定也会关联到默认应用

    为不影响您的现有业务,主账号下的身份实体(RAM用户或角色)都拥有其系统默认应用的权限,也可由主账号撤销其授权

    Custom

    用户自定义应用

    初始资源为空,可新创建数据时关联到该应用,也可迁移旧数据到该应用

    主账号下的身份实体只有授予权限后才能访问该应用下的资源

  • 应用ID

    • 系统默认应用的ID为app-1000000

    • 用户自定义应用的ID形式为app-xxxxxxx

    说明

    可通过获取应用信息列表接口查询到应用ID列表。

  • 管理方式

    您可以通过调用多应用体系的接口,创建、查询、更新和删除应用。控制台后续会支持多应用的管理。

账号授权

阿里云的账号体系主要分为:阿里云账号(主账号)、RAM用户、RAM角色等,您可以为指定的身份实体(RAM用户或RAM角色)授予相关应用访问权限。

  • 权限策略

    目前视频点播开放了三种应用授权策略,可以对身份实体进行授权。

    策略名称

    说明

    范围

    操作权限

    VODAppAdministratorAccess

    应用管理员权限

    所有应用

    管理主账号下的所有应用及应用下所有资源的权限

    VODAppFullAccess

    管理和操作应用下所有资源的权限

    单个应用

    指定应用下的所有资源

    VODAppReadOnlyAccess

    只读访问应用下所有资源的权限

    单个应用

    指定应用下的所有资源的读操作,如调用以Get、Describe、Search、List开头的接口操作应用下的资源

  • 主账号权限

    主账号拥有应用管理员的权限(VODAppAdministratorAccess),且不可更改自己的权限(如撤销应用授权)。应用管理员权限如下:

    • 可以创建、删除、修改、查询主账号下的所有应用。

    • 可以创建、删除、修改、查询各应用下的所有资源、配置和数据。

    • 可以对主账号下的身份实体(RAM用户或角色)进行应用授权和撤销授权,但不可撤销自己的管理员权限。

  • RAM用户或角色权限

    RAM用户或角色要使用点播多应用,需要先由主账号在RAM访问控制里授予其VODFullAccess权限,更细粒度的点播资源权限需要使用多应用管理。即,该身份实体拥有的权限是RAM权限和点播多应用权限的交集

    • 为确保开通多应用后服务能新旧兼容,RAM用户或角色都拥有系统默认应用的完全权限(VODAppFullAccess),应用管理员可以对其撤销或重新授权。

    • 可查询已授权的应用信息列表,授予某个应用的权限后,可对该应用下的资源(媒资、消息回调配置等)进行相关操作。

    • 如被授予应用管理员权限(VODAppAdministratorAccess),则可管理主账号下的所有应用和资源。

    • 如要跨应用迁移资源,则需要同时拥有两个应用的资源读写权限。

  • 授权方式

    您可以对身份实体附加或撤销应用授权。相关API,请参见多应用体系,控制台后续会支持多应用的授权。