授予RAM用户刷新预热权限的方法和前提条件

新创建的RAM用户默认没有CDN的刷新预热权限，通过访问控制RAM（Resource Access Management）的系统授权策略或自定义授权策略，您可以授予RAM用户刷新预热权限。

前提条件

您已创建RAM用户。如果未创建，请参见创建RAM用户进行创建。

背景信息

默认情况下，RAM用户没有CDN的刷新预热权限，当您使用RAM用户登录CDN控制台并配置刷新预热功能时，系统会提示该账号没有该页面接口的操作权限，或接口未支持RAM权限控制。此时，您需要通过访问控制RAM为RAM用户授予刷新预热的权限。

访问控制RAM支持以下两种授权策略，通过两种策略均可授予RAM用户刷新预热的权限。

系统策略
由阿里云统一配置，不可修改，被授权的RAM用户将拥有管理整个CDN的权限。通过系统策略，您可以快速完成授权配置。授权方法，请参见方法一：通过系统策略授予RAM用户刷新预热权限。
自定义策略
您可以自主创建、更新授权策略，进行精细化授权（例如授予RAM用户刷新预热、离线日志转存等功能操作级别的权限）。授权方法，请参见方法二：通过自定义策略授予RAM用户刷新预热权限。

方法一：通过系统策略授予RAM用户刷新预热权限

使用阿里云账号登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
在用户页面，单击目标RAM用户操作列的添加权限。
在添加权限面板，配置授权信息。
1. 授权应用范围选择整个云账号。
2. 选择权限为系统策略。
3. 在文本框中输入AliyunCDN，系统将自动展示与CDN相关的系统权限策略。
4. 单击AliyunCDNFullAccess权限策略，添加到已选择区域框中。
  说明 AliyunCDNFullAccess权限策略拥有CDN的完全控制权限，授权了该策略的RAM用户可以调用CDN的所有API接口和管理所有的域名。
单击确定。
单击完成。

方法二：通过自定义策略授予RAM用户刷新预热权限

创建自定义权限策略

使用阿里云账号登录RAM控制台。
在左侧导航栏，选择权限管理 > 权限策略。
在权限策略页面，单击创建权限策略。
在创建权限策略页面，单击脚本编辑页签。
输入权限策略内容。
在脚本编辑框，填入下方的自定义权限策略信息。该权限策略通过授予RAM用户刷新和预热接口的权限，使被授权的RAM用户拥有刷新预热功能的权限，可进行刷新预热配置。
```
{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "cdn:PushObjectCache",
        "cdn:RefreshObjectCaches",
        "cdn:DescribeRefreshTasks",
        "cdn:DescribeRefreshQuota"
      ],
      "Resource": "acs:cdn:*:*:*",
      "Effect": "Allow"
    }
  ]
}
```
说明
- CDN所有的API都支持授权，如果您需要创建其他自定义权限策略，可根据业务需求，在策略内容中添加其他API，授予RAM用户相关API的权限。关于授权支持的操作（Action），请参见RAM鉴权。
- 策略内容需要使用特定的语法结构来表示，用来精确地描述被授权的资源集、操作集以及授权条件。更多信息，请参见权限策略基本元素和权限策略语法和结构。
单击继续编辑基本信息。
输入权限策略名称和备注。
检查并优化权限策略内容。
- 基础权限策略优化
  系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务：
  - 删除不必要的条件。
  - 删除不必要的数组。
- 可选：高级权限策略优化
  您可以将鼠标悬浮在可选：高级策略优化上，单击执行，对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务：
  - 拆分不兼容操作的资源或条件。
  - 收缩资源到更小范围。
  - 去重或合并语句。
单击确定。

为RAM用户授权

使用阿里云账号登录RAM控制台。
在左侧导航栏，选择身份管理 > 用户。
在用户页面，单击目标RAM用户操作列的添加权限。

在添加权限面板，配置授权信息。


配置项	说明
授权应用范围	选择整个云账号，表示对应的权限应用范围为全局权限，不能选择指定资源组。
授权主体	系统根据您选择的目标RAM用户已自动填充。
选择权限	选择权限为自定义策略，在文本框中输入您在创建自定义权限策略中创建的名称，本文输入`AliyunCdnRefresh`，并将其添加到已选择区域框中。

单击确定。
单击完成。

后续步骤

RAM用户登录阿里云控制台