RAM用户使用控制台说明

创建RAM用户并授权

通过阿里云主账号登录RAM访问控制台，可以为RAM用户授予相关权限，以达到RAM用户在授权范围使用媒体处理（MPS）控制台的目的。RAM用户的权限主要包括：媒体处理（MPS）、对象存储（OSS）、内容分发（CDN）、消息服务（MNS）的产品使用权限，规划RAM用户拥有这些服务的资源实例后即可按相应的授权模版创建授权策略，并授予给RAM用户即可。

1. 子账户创建
   1. 登录RAM控制台。
   2. 在左侧导航栏，选择用户，单击创建用户。
   3. 勾选控制台访问、Open API调用访问，单击确定。单击确定后会弹出手机验证窗口，完成验证码验证后，自动生成该RAM用户的AccessKey。
   4. 单击用户信息右侧的复制，保存用户登录名称、登录密码、AK对等用户信息。
      说明 请保存用户信息并妥善保管，用于后续的访问。
2. 子账户授权
   1. 在左侧导航栏，选择用户进入用户界面，选择新建的RAM账户，并单击添加权限。
   2. 选择AliyunOSSFullAccess，AliyunCDNFullAccess，AliyunMTSFullAccess，AliyunMNSFullAccess并单击确定，完成授权。
      说明 此处授权的是MPS服务中所需要的四个产品的全部权限，如果需要更细粒度的权限控制请参考高级设置。
3. （可选）高级设置，存在用户需求对各个产品进行更细权限的控制，可以创建自定义权限，将对应的自定义权限授权子账户。
   • 创建自定义授权策略
     1. 在左侧导航栏，选择权限管理 > 权限策略管理 。
     2. 单击创建授权策略，进入自定义权限策略页面。
        说明 授权策略可以看OSS授权策略、CDN授权策略或MNS授权策略。
        设置权限策略。

        参数	说明
        策略名称	在文本输入框中输入名称。
        配置模式	选择脚本配置。
        策略内容	选择已有策略，或将下方需要的策略代码复制到代码框中。

     3. 单击确定完成自定义授权策略创建。
   • OSS授权策略
     权限描述：

     • 对指定的输入、输出Bucket有所有操作权限。
     • 查看Bucket列表权限。

       {
       "Version": "1",
       "Statement": [
       {
       "Action": [
       "oss:*"
       ],
       "Resource": [
       "acs:oss:*:*:$InputBucket",
       "acs:oss:*:*:$InputBucket/*",
       "acs:oss:*:*:$OutputBucket",
       "acs:oss:*:*:$OutputBucket/*"
       ],
       "Effect": "Allow"
       },
       {
       "Action": [
       "oss:ListBuckets"
       ],
       "Resource": "*",
       "Effect": "Allow"
       }
       ]
       }

       说明

       • $InputBucket：MPS媒体输入Bucket，填入具体工作流中要涉及到的bucket名称。
       • $OutputBucket：MPS媒体输出Bucket，填入具体工作流中要涉及到的bucket名称。
       • 这里的oss:ListBuckets权限是子账号需要通过可视化工具操作OSS必备的权限，该权限赋予后子账号登录可以查看到所有的bucket列表，但是仅能操作前面赋权的$InputBucket和$OutputBucket这两个bucket，并且该权限暂时仅支持赋权给所有的bucket，不支持赋权给某个bucket。
   • MNS授权策略
     权限描述：

     • 对指定的Queue、Topic有所有权限。
     • 有查询Queue、Topic的权限。

       {
       "Version": "1",
       "Statement": [
       {
       "Action": [
       "mns:*"
       ],
       "Resource": [
       "acs:mns:$Region:$Uid:/queues/$QueueName",
       "acs:mns:$Region:$Uid:/topics/$TopicName",
       ],
       "Effect": "Allow"
       },
       {
       "Action": [
       "mns:Get*",
       "mns:List*"
       ],
       "Resource": "*",
       "Effect": "Allow"
       }
       ]
       }

       说明

       • $QueueName：MNS队列名称，填入具体工作流中要涉及到的队列名称。
       • $TopicName：MNS通知主题名称，填入具体工作流中要涉及到的通知名称。
   • CDN授权策略
     权限描述：

     • 对指定的CDN加速域名有所有权限。
     • 有查询CDN加速域名的权限。

       {
       "Version": "1",
       "Statement": [
       {
       "Action": "cdn:*",
       "Resource": [
       "acs:cdn:*:$Uid:domain/$DomainName"
       ],
       "Effect": "Allow"
       },
       {
       "Action": "cdn:Describe*",
       "Resource": "*",
       "Effect": "Allow"
       }
       ]
       }

       说明 $DomainName：CDN加速域名名称，填入具体工作流中要涉及到的CDN域名名称。
   • RAM授权策略

     权限描述：

     使被授权的子用户有权限查看角色的权限策略。

     {
         "Statement": [{
             "Action": ["ram:ListPoliciesForRole"],
             "Effect": "Allow",
             "Resource": "*"
         }],
         "Version": "1"
     }

4. RAM用户登录MPS控制台
   1. 在主账号控制台左侧导航栏，选择概览，单击RAM用户登录地址。
   2. 输入RAM用户名和用户密码单击登录，进入阿里云控制台。
      说明 子账户初次登录需要重置密码。
   3. 在保有资源的云产品下方，单击媒体处理，进入媒体处理控制台。