使用RAM账号访问图像搜索服务前,您需要先给RAM账号授权。本文介绍如何为RAM账号授予图像搜索权限。

背景信息

访问控制RAM(Resource Access Management)是阿里云提供的一项管理用户身份与资源访问权限的服务。使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。

简介

使用RAM账号访问图搜服务时,需要对RAM账号进行授权。包括如下两种方式:
  • 通用权限策略。
  • 自定义权限策略。
建议直接授予通用权限策略,可以避免配置复杂。如果通用权限策略无法满足您的需求,您可以使用自定义权限策略。

RAM支持的区域

图像搜索RAM支持的区域如下。
地域 RegionId
华东1(杭州) cn-hangzhou
华东2(上海) cn-shanghai
亚太东南1(新加坡) ap-southeast-1
中国香港 cn-hongkong
亚太东北 1(东京) ap-northeast-1
欧洲中部 1(法兰克福) eu-central-1

通用权限策略

系统提供如下两种通用权限策略,请根据需求进行选择:
  • AliyunImagesearchReadOnlyAccess:只读访问图像搜索的权限,可用于只读用户。
  • AliyunImagesearchFullAccess:管理图像搜索的权限,可用于管理员。
  1. 登录阿里云控制台
  2. 鼠标悬浮在右上角用户中心,单击访问控制
    RAM授权-步骤1
  3. 在左侧导航栏的权限管理菜单下,单击授权
  4. 单击新增授权
    新增首选
  5. 被授权主体区域下,输入RAM用户名称或ID后,单击需要授权的RAM用户。
  6. 在左侧权限策略名称列表下,单击需要授予RAM用户的权限策略。
    系统提供如下两种通用权限策略,请根据需求进行选择:
    • AliyunImagesearchReadOnlyAccess:只读访问图像搜索的权限,可用于只读用户。
    • AliyunImagesearchFullAccess:管理图像搜索的权限,可用于管理员。
    RAM授权-通用策略

自定义权限策略

图像搜索支持仅且支持instance一种资源类型,通过RAM授权时资源描述方式如下:
  • 资源类型:instance
  • 授权策略中资源描述方式:acs:imagesearch:$regionid:$accountid:instance/$instance
    • $regionid:地域信息。如果不支持该项,可以使用通配符*来代替。
    • $accountid:阿里云主账号ID。例如:123456789012****,可以用*代替。
    • $instance:实例名称。比如demo123,可以使用*代替。
表 1. 不同资源对应的Actions权限
资源 Actions
instance/* Actions权限名称及描述如下:
  • ClearInstance:清空实例。
  • DescribeInstance:查看实例详情。
  • IncreaseInstance:触发实例增量。
  • InitInstance:初始化实例。
  • RemoveInstance:删除实例。
  • ListInstance:查看实例列表。
  • SearchItem:搜索商品或图片。
  • DeleteItem:删除商品或图片。
  • AddItem:添加商品或图片。
  • ListIncrement:查看实例增量。
  • TagResources:增加标签。
  • UntagResources:删除标签。
instance/$instance Actions权限名称及描述如下:
  • ClearInstance:清空实例。
  • DescribeInstance:查看实例详情。
  • IncreaseInstance:触发实例增量。
  • InitInstance:初始化实例。
  • RemoveInstance:删除实例。
  • SearchItem:搜索商品或图片。
  • DeleteItem:删除商品或图片。
  • AddItem:添加商品或图片。
  • ListIncrement:查看实例增量。
  • TagResources:增加标签。
  • UntagResources:删除标签。
  1. 登录阿里云控制台
  2. 鼠标悬浮在右上角用户中心,单击访问控制
    RAM授权-步骤1
  3. 在左侧导航栏的权限管理菜单下,单击权限策略管理
  4. 单击创建权限策略
    创建权限策略
  5. 新建自定义权限策略页面设置自定义权限策略。
    输入策略名称(例如:Imagesearch_ram),备注,选择脚本配置,并输入策略内容。RAM授权-自定义策略
  6. 在左侧导航栏的权限管理菜单下,单击授权
  7. 单击新增授权
    新增首选
  8. 被授权主体区域下,输入RAM用户名称或ID后,单击需要授权的RAM用户。
  9. 在左侧权限策略名称列表下,单击需要授予RAM用户的权限策略。
    例如新增imagesearch_ram权限策略。RAM授权-添加自定义策略

自定义权限策略样例

  • 参考样例一
    权限内容要求如下:
    • 子账号所属主账号ID为1234。
    • 华东2地域。
    • 所有实例。
    • 控制台除清空和删除之外所有操作权限。
    • 指定IP可以访问。
    具体策略内容如下
    {
      "Statement": [
       {
         "Action": [
           "imagesearch:ListInstance",
           "imagesearch:DescribeInstance",
           "imagesearch:IncreaseInstance",
           "imagesearch:InitInstance",
           "imagesearch:ListIncrement"
         ],
         "Condition": {
           "IpAddress": {
             "acs:SourceIp": "xxx.xx.xxx.x/xx"
           }
         },
         "Effect": "Allow",
         "Resource": "acs:imagesearch:cn-shanghai:1234:instance/*"
       }
      ],
      "Version": "1"
    }
  • 参考样例二
    权限内容要求如下:
    • 子账号所属主账号ID为1234。
    • 所有地域。
    • 所有实例。
    • 控制台及API所有操作权限。
    具体策略内容如下。
    {
      "Statement": [
       {
         "Action": [
             "imagesearch:*"
               ],
         "Effect": "Allow",
         "Resource": "acs:imagesearch:*:1234:instance/*"
       }
      ],
      "Version": "1"
    }
  • 参考样例三
    权限内容要求如下:
    • 子账号所属主账号ID为1234。
    • 所有地域。
    • 实例名称为instance12138
    • 所有操作权限。
    具体策略内容如下。
    {
      "Statement": [
       {
         "Action": [
             "imagesearch:*",
               ],
         "Effect": "Allow",
         "Resource": "acs:imagesearch:*:1234:instance/instance12138"
       }
      ],
      "Version": "1"
    }