新创建的RAM用户默认没有CDN的刷新预热权限,通过访问控制RAM(Resource Access Management)的系统授权策略或自定义授权策略,您可以授予RAM用户刷新预热权限。

前提条件

您已创建RAM用户。如果未创建,请参见创建RAM用户进行创建。

背景信息

默认情况下,RAM用户没有CDN的刷新预热权限,当您使用RAM用户登录CDN控制台并配置刷新预热功能时,系统会提示该账号没有该页面接口的操作权限,或接口未支持RAM权限控制。此时,您需要通过访问控制RAM为RAM用户授予刷新预热的权限。报错
访问控制RAM支持以下两种授权策略,通过两种策略均可授予RAM用户刷新预热的权限。

方法一:通过系统策略授予RAM用户刷新预热权限

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限面板,配置授权信息。
    添加系统策略
    1. 授权应用范围选择整个云账号
    2. 选择权限为系统策略
    3. 在文本框中输入AliyunCDN,系统将自动展示与CDN相关的系统权限策略。
    4. 单击AliyunCDNFullAccess权限策略,添加到已选择区域框中。
      说明 AliyunCDNFullAccess权限策略拥有CDN的完全控制权限,授权了该策略的RAM用户可以调用CDN的所有API接口和管理所有的域名。
  5. 单击确定
  6. 单击完成

方法二:通过自定义策略授予RAM用户刷新预热权限

创建自定义权限策略

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 创建权限策略页面,单击脚本编辑页签。
  5. 输入权限策略内容。
    创建权限策略在脚本编辑框,填入下方的自定义权限策略信息。该权限策略通过授予RAM用户刷新和预热接口的权限,使被授权的RAM用户拥有刷新预热功能的权限,可进行刷新预热配置。
    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "cdn:PushObjectCache",
            "cdn:RefreshObjectCaches",
            "cdn:DescribeRefreshTasks",
            "cdn:DescribeRefreshQuota"
          ],
          "Resource": "acs:cdn:*:*:*",
          "Effect": "Allow"
        }
      ]
    }
    说明
    • CDN所有的API都支持授权,如果您需要创建其他自定义权限策略,可根据业务需求,在策略内容中添加其他API,授予RAM用户相关API的权限。关于授权支持的操作(Action),请参见RAM鉴权
    • 策略内容需要使用特定的语法结构来表示,用来精确地描述被授权的资源集、操作集以及授权条件。更多信息,请参见权限策略基本元素权限策略语法和结构
  6. 单击下一步:编辑基本信息
  7. 输入权限策略名称备注
  8. 检查并优化权限策略内容。
    • 基础权限策略优化

      系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:

      • 删除不必要的条件。
      • 删除不必要的数组。
    • 可选:高级权限策略优化

      您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:

      • 拆分不兼容操作的资源或条件。
      • 收缩资源到更小范围。
      • 去重或合并语句。
  9. 单击确定

为RAM用户授权

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限面板,配置授权信息。
    添加自定义权限
    配置项 说明
    授权应用范围 选择整个云账号,表示对应的权限应用范围为全局权限,不能选择指定资源组
    授权主体 系统根据您选择的目标RAM用户已自动填充。
    选择权限 选择权限为自定义策略,在文本框中输入您在创建自定义权限策略中创建的名称,本文输入AliyunCdnRefresh,并将其添加到已选择区域框中。
  5. 单击确定
  6. 单击完成

后续步骤

RAM用户登录阿里云控制台