本文为您介绍通过阿里云账号授权RAM用户访问媒体处理服务的操作步骤。

通过阿里云账号登录RAM控制台,可以为RAM用户授予相关权限。授权不同的功能可以在控制台上使用不同的服务,以达到RAM用户在授权范围内使用阿里云其他产品服务的目的。RAM用户的权限主要包括:媒体处理MPS、对象存储OSS、内容分发CDN、消息服务MNS的产品使用权限,规划RAM用户拥有这些服务的资源实例后即可按相应的授权模板创建授权策略,并授予给RAM用户即可。
说明 如果使用MPS服务时权限不足会导致报错User not authorized to operate on the specified resource,请检查您使用的RAM用户是否拥有MPS的完整控制权限,或按照下文内容申请RAM用户权限。

创建RAM用户

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击创建用户
  4. 创建用户页面的用户账号信息区域,输入登录名称显示名称
    说明 单击添加用户,可一次性创建多个RAM用户。
  5. 访问方式区域,选择访问方式。
    • 控制台访问:设置控制台登录密码、重置密码策略和多因素认证策略。
      说明 自定义登录密码时,密码必须满足密码复杂度规则。关于如何设置密码复杂度规则,请参见设置RAM用户密码强度
    • OpenAPI调用访问:自动为RAM用户生成访问密钥(AccessKey),支持通过API或其他开发工具访问阿里云。
    说明 为了保障账号安全,建议仅为RAM用户选择一种登录方式,避免RAM用户离开组织后仍可以通过访问密钥访问阿里云资源。
  6. 单击确定

为RAM用户授权

  1. RAM用户授权。
    1. 在左侧导航栏,选择用户进入用户界面,选择新建的RAM账户,并单击操作添加权限添加权限
    2. 选择授权应用范围。
      授权范围 说明
      整个云账号 权限在当前阿里云账号内生效。
      指定资源组 权限在指定资源组内生效。
    3. 授权主体输入框中输入被授权主体。
      说明 被授权主体即需要授权的RAM用户,系统会自动填入当前的RAM用户,您也可以添加其他RAM用户。
    4. 选择AliyunOSSFullAccess,AliyunCDNFullAccess,AliyunMTSFullAccess,AliyunMNSFullAccess,AliyunRAMReadOnlyAccess并单击确定,完成授权。权限
      说明 此处授权的是MPS服务中所需产品的全部权限,如果需要更细粒度的权限控制请参考下文中创建自定义授权策略进行授权。
  2. 可选:创建自定义授权策略。
    说明 如果用户需要对各个产品进行更细权限的控制,可以创建自定义权限,将对应的自定义权限授权给子账户。
    1. 在左侧导航栏,选择权限管理 > 权限策略
    2. 单击创建授权策略,进入自定义权限页面。
    3. 设置权限策略。
      说明 授权策略可以参考下文中的OSS授权策略、CDN授权策略或MNS授权策略。
      参数 说明
      策略名称 在文本输入框中输入名称。
      备注 对策略进行补充说明。
      配置模式 选择脚本配置。
      策略内容 选择已有策略,或将下方需要的策略代码复制到代码框中。
      • OSS授权策略
        权限描述:
        • 对指定的输入、输出Bucket有所有操作权限。
        • 查看Bucket列表权限。
          {
"Version": "1",
"Statement": [
{
"Action": [
"oss:*"
],
"Resource": [
"acs:oss:*:*:$InputBucket",
"acs:oss:*:*:$InputBucket/*",
"acs:oss:*:*:$OutputBucket",
"acs:oss:*:*:$OutputBucket/*"
],
"Effect": "Allow"
},
{
"Action": [
"oss:ListBuckets"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
          说明
          • $InputBucket:MPS媒体输入Bucket,填入具体工作流中要涉及到的Bucket名称。
          • $OutputBucket:MPS媒体输出Bucket,填入具体工作流中要涉及到的Bucket名称。
          • 这里的oss:ListBuckets权限是子账号需要通过可视化工具操作OSS必备的权限,该权限赋予后子账号登录可以查看到所有的Bucket列表,但是仅能操作前面赋权的$InputBucket和$OutputBucket这两个Bucket,并且该权限暂时仅支持赋权给所有的Bucket,不支持赋权给某个Bucket。
      • MNS授权策略
        权限描述:
        • 对指定的Queue、Topic有所有权限。
        • 有查询Queue、Topic列表的权限。
          {
"Version": "1",
"Statement": [
{
"Action": [
"mns:*"
],
"Resource": [
"acs:mns:$Region:$Uid:/queues/$QueueName",
"acs:mns:$Region:$Uid:/topics/$TopicName",
],
"Effect": "Allow"
},
{
"Action": [
"mns:Get*",
"mns:List*"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
          说明
          • $QueueName:MNS队列名称,填入具体工作流中要涉及到的队列名称。
          • $TopicName:MNS通知主题名称,填入具体工作流中要涉及到的通知名称。
      • CDN授权策略
        权限描述:
        • 对指定的CDN加速域名有所有权限。
        • 有查询CDN加速域名的权限。
          {
"Version": "1",
"Statement": [
{
"Action": "cdn:*",
"Resource": [
"acs:cdn:*:$Uid:domain/$DomainName"
],
"Effect": "Allow"
},
{
"Action": "cdn:Describe*",
"Resource": "*",
"Effect": "Allow"
}
]
}
          说明 $DomainName:CDN加速域名名称,填入具体工作流中要涉及到的CDN域名名称。
      • RAM授权策略

        权限描述:

        使被授权的子用户有权限查看角色的权限策略。
        {
    "Statement": [{
        "Action": ["ram:ListPoliciesForRole"],
        "Effect": "Allow",
        "Resource": "*"
    }],
    "Version": "1"
}
    4. 单击确定完成自定义授权策略创建。
  3. RAM用户登录MPS控制台。
    1. 在云账号控制台左侧导航栏,选择概览,单击用户登录地址登录
    2. 输入RAM用户名用户密码,单击登录,进入阿里云控制台。
      说明 子账户初次登录需要重置密码。
    3. 保有资源的云产品下方,单击媒体处理,进入媒体处理控制台。媒体
    授权完成后,即可使用RAM用户访问媒体处理服务。