本文为您介绍了借助RAM(Resource Access Management)子账户实现调用CDN API的鉴权规则。

借助RAM实现子账号对主账号的CDN资源访问

说明 如果您不需要使用RAM(访问控制),请略过此章节。
  • 通过云帐号开通CDN服务,创建加速域名,所有服务和加速域名都是该帐号自己拥有的资源。默认情况下,帐号对自己的资源拥有完整的操作权限。
  • 使用阿里云的访问控制RAM(Resource Access Management)服务,您可以将云账号下CDN资源的访问及管理权限授予RAM(访问控制)中的子用户。
  • 在了解如何使用RAM来授权和访问CDN资源之前,请确保您已详细阅读了RAM 产品文档API参考

RAM中可授权的CDN资源类型

目前,可以在RAM中进行授权的资源类型及描述方式如下表所示:

资源类型 授权策略中的资源描述方式 说明
service acs:cdn:*:$accountid:* 授权子账户管理CDN服务,例如:变配、查询账户信息等。
domain acs:cdn:*:$accountid:domain/$domainNameacs:cdn:*:$accountid:domain/* 授权子账户管理自己的加速域名,例如:添加、配置、查询域名等。

CDN API发生子账号访问主账号资源时的鉴权规则

当子账号通过CDN API对主账号的CDN资源进行访问时,CDN后台向RAM进行权限检查,以确保资源拥有者的确将相关资源的相关权限授予了调用者。

每个不同的CDN API会根据涉及到的资源以及API的语义来确定需要检查哪些资源的权限。具体每个API的鉴权规则见下表:

API 鉴权规则
OpenCdnService acs:cdn:*:$accountid:*
DescribeCdnService acs:cdn:*:$accountid:*
ModifyCdnService acs:cdn:*:$accountid:*
DescribeUserDomains acs:cdn::$accountid:domain/
DescribeCdnDomainDetail acs:cdn:*:$accountid:domain/$domainName
AddCdnDomain acs:cdn::$accountid:domain/
StartCdnDomain acs:cdn:*:$accountid:domain/$domainName
StopCdnDomain acs:cdn:*:$accountid:domain/$domainName
DeleteCdnDomain acs:cdn:*:$accountid:domain/$domainName
DescribeDomainConfigs acs:cdn:*:$accountid:domain/$domainName
SetOptimizeConfig acs:cdn:*:$accountid:domain/$domainName
SetPageCompressConfig acs:cdn:*:$accountid:domain/$domainName
SetIgnoreQueryStringConfig acs:cdn:*:$accountid:domain/$domainName
SetRangeConfig acs:cdn:*:$accountid:domain/$domainName
SetVideoSeekConfig acs:cdn:*:$accountid:domain/$domainName
SetSourceHostConfig acs:cdn:*:$accountid:domain/$domainName
SetErrorPageConfig acs:cdn:*:$accountid:domain/$domainName
SetForceRedirectConfig acs:cdn:*:$accountid:domain/$domainName
SetRefererConfig acs:cdn:*:$accountid:domain/$domainName
SetFileCacheExpiredConfig acs:cdn:*:$accountid:domain/$domainName
SetPathCacheExpiredConfig acs:cdn:*:$accountid:domain/$domainName
ModifyFileCacheExpiredConfig acs:cdn:*:$accountid:domain/$domainName
ModifyPathCacheExpiredConfig acs:cdn:*:$accountid:domain/$domainName
DeleteCacheExpiredConfig acs:cdn:*:$accountid:domain/$domainName
SetReqAuthConfig acs:cdn:*:$accountid:domain/$domainName
SetHttpHeaderConfig acs:cdn:*:$accountid:domain/$domainName
ModifyHttpHeaderConfig acs:cdn:*:$accountid:domain/$domainName
DeleteHttpHeaderConfig acs:cdn:*:$accountid:domain/$domainName
RefreshObjectCaches acs:cdn::$accountid:domain/
PushObjectCache acs:cdn::$accountid:domain/
DescribeRefreshTasks acs:cdn::$accountid:domain/
DescribeRefreshQuota acs:cdn::$accountid:domain/
DescribeLiveStreamsPublishList acs:cdn:*:$accountid:domain/$domainName
DescribeLiveStreamsOnlineList acs:cdn:*:$accountid:domain/$domainName
DescribeLiveStreamsBlockList acs:cdn:*:$accountid:domain/$domainName
DescribeLiveStreamsControlHistory acs:cdn:*:$accountid:domain/$domainName
DescribeLiveStreamOnlineUserNum acs:cdn:*:$accountid:domain/$domainName
ForbidLiveStream acs:cdn:*:$accountid:domain/$domainName
ResumeLiveStream acs:cdn:*:$accountid:domain/$domainName
SetLiveStreamsNotifyUrlConfig acs:cdn:*:$accountid:domain/$domainName
DescribeDomainBpsData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainFlowData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainSrcBpsData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainSrcFlowData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainHitRateData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainQpsData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainHttpCodeData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainsUsageByDay acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeTopDomainsByFlow acs:cdn::$accountid:domain/
DescribeDomainPvData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainUvData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainRegionData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainISPData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainTopUrlVisit acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainTopReferVisitl acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainFileSizeProportionData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainCCData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeDomainWafData acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeCdnDomainLogs acs:cdn::$accountid:domain/ acs:cdn:*:$accountid:domain/$domainName
DescribeIpInfo acs:cdn::$accountid:domain/