在使用访问控制 RAM(Resource Access Management)子账号调用CDN API之前,需要主账号通过创建授权策略对RAM账号进行授权,在授权策略中,使用资源描述符 ARN(Alibaba Cloud Resource Name)指定授权资源,本章节为您介绍了可授权的CDN资源类型和API,如果您无需授权就能访问CDN资源,可以跳过本章节。

默认情况下,主账号或RAM账号均能使用CDN控制台或CDN API完整操作自己创建的CDN资源。在以下场景中,会涉及到操作授权问题:
  • RAM账号刚创建时没有权限操作主账号的资源时。
  • 操作具有权限控制的CDN资源前,需要资源拥有者授权目标资源和目标API行为权限。

当其他账号通过CDN API访问主账号资源时,阿里云CDN首先向RAM发起权限检查,以确保资源拥有者已经将相关权限授予调用者。不同的CDN API会根据涉及的资源以及API语义确定需要检查哪些资源的权限。实现授权策略和权限控制,您可以参见访问控制产品文档API参考

了解CDN子账户如何使用,您可以参见CDN子账户使用指南

了解RAM为CDN创建自定义授权策略,您可以参见使用RAM对CDN进行权限管理

可授权的CDN资源类型

目前,可以在RAM中进行授权的资源类型及描述方式如下表所示:

资源类型 授权策略中的资源描述方式 说明
service acs:cdn:*:$accountid:* 授权子账户管理CDN服务,例如:变配、查询账户信息等。
domain acs:cdn:*:$accountid:domain/$domainName 授权子账户管理自己的加速域名,例如:添加、配置、查询域名等。

$domainName表示对指定域名或者泛域名(例如:*.aliyun.com)提供授权。

末尾的星号(*)表示对所有域名提供授权。

acs:cdn:*:$accountid:domain/*

可授权的CDN API

每个API的资源描述如下表所示。

API 资源描述
OpenCdnService acs:cdn:*:$accountid:*
DescribeCdnService acs:cdn:*:$accountid:*
ModifyCdnService acs:cdn:*:$accountid:*
DescribeUserDomains acs:cdn:*:$accountid:domain/*
DescribeCdnDomainDetail acs:cdn:*:$accountid:domain/$domainName
AddCdnDomain acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
StartCdnDomain acs:cdn:*:$accountid:domain/$domainName
StopCdnDomain acs:cdn:*:$accountid:domain/$domainName
DeleteCdnDomain acs:cdn:*:$accountid:domain/$domainName
RefreshObjectCaches acs:cdn:*:$accountid:domain/$domainName
PushObjectCache acs:cdn:*:$accountid:domain/$domainName
DescribeRefreshTasks acs:cdn:*:$accountid:domain/*
DescribeRefreshQuota acs:cdn:*:$accountid:domain/*
ForbidLiveStream acs:cdn:*:$accountid:domain/$domainName
DescribeDomainBpsData acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
DescribeDomainSrcBpsData acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
DescribeDomainHitRateData acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
DescribeDomainQpsData acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
DescribeDomainHttpCodeData acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
DescribeDomainsUsageByDay acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
DescribeTopDomainsByFlow acs:cdn:*:$accountid:domain/*
DescribeDomainPvData acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
DescribeDomainUvData acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
DescribeDomainRegionData acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
DescribeDomainISPData acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
DescribeDomainTopUrlVisit acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
DescribeDomainFileSizeProportionData acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
DescribeCdnDomainLogs acs:cdn:*:$accountid:domain/*
acs:cdn:*:$accountid:domain/$domainName
DescribeIpInfo acs:cdn:*:$accountid:domain/*