智能媒体服务通过使用AccessKey,可以验证操作请求发送者的身份,有效阻止非法请求。通过阅读本文,您可以了解各AccessKey类型的基本概念和差异。

AccessKey类型说明

智能媒体服务会对每一次发起操作请求的用户身份进行验证,通过AccessKey(包含AccessKey ID和AccessKey Secret)验证该账号是否拥有相应的权限。当前AccessKey支持以下三种类型:

  • 主账号AccessKey

    特指智能媒体服务开通者的AccessKey,每个阿里云主账号提供的AccessKey对拥有的资源具有完全的权限,且最多拥有不超过5个启用或禁用AccessKey。您可以登录AccessKey管理控制台新增或删除AccessKey,每个AccessKey对都有启用和禁用两种状态,只有启用的AccessKey才能在身份验证时使用。

    重要 由于主账号AccessKey有完全的权限,一旦泄露风险巨大,不建议使用其访问智能媒体服务资源。
  • RAM用户AccessKey

    RAM是指阿里云提供的资源访问控制服务。RAM用户AccessKey是指通过RAM被授权的AccessKey,这组AccessKey只能按照RAM定义的规则去访问智能媒体服务资源。通过RAM,您可以集中管理您的用户(例如:员工、系统或应用程序等),以及控制用户可以访问您名下哪些资源的权限。RAM用户从属于主账号,RAM用户不能拥有实际的任何资源,所有资源都属于主账号。您可以登录RAM控制台创建RAM用户并授予相应权限,详情请参见创建RAM用户并授权

  • STS临时AccessKey

    STS是指阿里云提供的临时访问凭证服务。STS临时AccessKey是指通过STS颁发带时效性的AccessKey,这组AccessKey只能按照STS定义的规则去访问智能媒体服务资源,且会定期失效。您可以登录RAM控制台创建RAM角色并进行STS授权,详情请参见创建RAM角色并进行STS授权

不同验证方式对比

验证方式风险权限时效适用场景
主账号AccessKey极大管理和操作IMS所有资源的权限启用后一直有效超级管理员进行操作,不建议在程序里使用,尤其不要放到客户端。
RAM用户AccessKey较大根据授权策略获得相应的权限启用后一直有效授权进行具体的媒资注册、媒资查询、剪辑合成任务提交、剪辑合成任务查询等操作,可准备多个子账号,如果AccessKey泄露(例如,人员离职等)需要更换,建议在服务端使用。
STS临时AccessKey安全根据授权策略获得相应的权限自定义过期时间移动端或Web端使用,需要您自己部署服务端生成STS临时AccessKey,且要处理好临时AccessKey失效的情况。

授权策略

智能媒体服务提供以下两种系统授权策略,您可以根据实际需求对RAM用户授权:

权限策略描述OpenAPI调用权限
AliyunICEFullAccess管理和操作IMS所有资源的权限。可以调用智能媒体服务所有的OpenAPI。
AliyunICEReadOnlyAccess只读访问IMS所有资源的权限。可以调用智能媒体服务所有读取类的OpenAPI,例如Get、Describe、Search、List开头的接口。

如果系统授权策略无法满足您个性化的授权需求,可以进行自定义授权策略。具体操作,请参见使用自定义策略