全部产品
云市场

概述

更新时间:2019-04-11 17:35:52

简介

使用点播服务时,可能存在同一账号下多个使用方(如多个环境、多个业务或多个渠道)的资源、配置和数据隔离的需求,阿里云视频点播构建了多应用体系,可以满足多个使用方的相互隔离,并可结合 RAM访问控制 实现分权限管理。多应用体系默认为关闭,您可以申请开通,详见 多应用使用指南

使用场景

  • 多个环境隔离:测试环境和线上环境需要资源隔离(如视频、图片等),或配置、数据等的隔离(如分别配置不同的消息回调地址),可以使用多应用体系,为每个环境创建不同的应用,并关联不同的RAM子账号、授予相应权限,以免开发、测试时影响线上。

  • 多个业务隔离:同一公司有多条业务线或者多个部门都需要使用点播服务,可以使用多应用来做到相互隔离,为每个业务或部门创建不同的应用。

  • 多个渠道隔离:如果想基于点播服务的某些能力构建平台化服务,面向多个渠道或多个客户,也可以使用多应用体系。

使用限制

  • 同一账号最多创建10个应用,如需求更多,可单独申请提高。

  • 暂时只支持 媒体上传、音视频播放、媒资管理、消息回调 的多应用隔离;其它服务会陆续支持。

  • 多应用暂时只是元数据层面而非物理存储上的隔离,故不支持每个应用的单独计费,后续会逐步支持域名、存储等的物理隔离。

应用管理

应用类型

开启多应用后,您可以创建新的自定义应用,但为确保新老数据的兼容,点播服务提供了系统默认应用的概念,且默认应用不可删除。

应用类型 应用说明 关联资源 权限管理说明
System 系统默认应用 旧数据都在默认应用下,新创建数据若未指定也会关联到默认应用 为不影响您的现有业务,主账号下的身份实体(子账号或角色)都拥有其系统默认应用的权限,也可由主账号撤销其授权
Custom 用户自定义应用 初始资源为空,可新创建数据时关联到该应用,也可迁移旧数据到该应用 主账号下的身份实体只有授予权限后才能访问该应用下的资源

应用ID

  • 系统默认应用的ID为app-1000000

  • 用户自定义应用的ID形式类似 app-xxxxxxx

可通过 获取应用信息列表接口 查询到应用ID列表。

管理方式

您可以创建、查询、更新和删除应用,相关API详见 多应用接口,控制台后续会支持多应用的管理。

应用授权

阿里云的账号体系主要分为:云账号(主账号)、RAM用户(子账号)、RAM角色等,您可以为指定的身份实体(子账号或RAM角色)授予相关应用访问权限。

权限策略

目前视频点播开放了三种应用授权策略,可以对身份实体进行授权。

策略名称 说明 范围 操作权限
VODAppAdministratorAccess 应用管理员权限 所有应用 管理主账号下的所有应用及应用下所有资源的权限
VODAppFullAccess 管理和操作应用下所有资源的权限 单个应用 指定应用下的所有资源
VODAppReadOnlyAccess 只读访问应用下所有资源的权限 单个应用 指定应用下的所有资源的读操作,如调用以Get、Describe、Search、List开头的接口操作应用下的资源

主账号权限

主账号拥有应用管理员的权限(VODAppAdministratorAccess),且不可更改自己的权限(如撤销应用授权)。应用管理员权限如下:

  • 可以创建、删除、修改、查询主账号下的所有应用。

  • 可以创建、删除、修改、查询各应用下的所有资源、配置和数据。

  • 可以对主账号下的身份实体(子账号或角色)进行应用授权和撤销授权,但不可撤销自己的管理员权限。

子账号或角色权限

子账号或角色要使用点播多应用,需要先由主账号在 RAM访问控制 里授予其VODFullAccess权限,更细粒度的点播资源权限需要使用多应用管理。也就是,该身份实体拥有的权限是RAM权限和点播多应用权限的交集

  • 为确保开通多应用后服务能新旧兼容,子账号或角色都拥有系统默认应用的完全权限(VODAppFullAccess),应用管理员可以对其撤销或重新授权。

  • 可查询已授权的应用信息列表;授予某个应用的权限后,可对该应用下的资源(媒资、消息回调配置等)进行相关操作。

  • 如被授予应用管理员权限(VODAppAdministratorAccess),则可管理主账号下的所有应用和资源。

  • 如要跨应用迁移资源,则需要同时拥有两个应用的资源读写权限。

授权方式

您可以对身份实体附加或撤销应用授权,相关API详见 多应用接口,控制台后续会支持多应用的授权。

开始使用

如需要使用多应用,可单独申请开通,并完成相关配置,具体使用步骤请参考 多应用使用指南