创建RAM用户并授权

RAM用户即RAM账号,是RAM的一种实体身份类型。您可以为阿里云账号(主账号)创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。

前提条件

您已经注册了阿里云账号并完成账号实名认证。注册地址请参见阿里云官网。注册指引请参见注册阿里云账号。实名认证指引请参见个人实名认证企业实名认证和个体工商户认证

操作步骤

  1. 使用阿里云账号(主账号)或RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击创建用户

  4. 创建用户页面的用户账号信息区域,设置用户基本信息。

    • 登录名称:可包含英文字母、数字、半角句号(.)、短划线(-)和下划线(_),最多64个字符。

    • 显示名称:最多包含128个字符或汉字。

    • 标签:单击edit,然后输入标签键和标签值。为RAM用户绑定标签,便于后续基于标签的用户管理。

    说明

    单击添加用户,可以批量创建多个RAM用户。

  5. 访问方式选中OpenAPI 调用访问

  6. 单击确定并完成手机验证,系统会自动生成RAM用户的AccessKey。

    001

  7. 单击操作列的复制,保存用户登录名称、登录密码、AccessKey等用户信息。

    重要

    请务必保存好登录密码和AccessKey信息(AccessKey ID和AccessKey Secret),否则后续无法查询。

  8. 返回用户列表页面,单击已创建RAM用户操作列的添加权限

  9. 新增授权面板,为RAM用户添加权限。

    1. 选择授权应用范围。

      资源范围选择账号级别,智能媒体服务暂不支持指定资源组授权。关于资源组详情,请参见资源目录、资源组与标签的区别和联系

    2. 输入授权主体。
      授权主体即需要授权的RAM用户,系统会自动填入当前的RAM用户,您也可以添加其他RAM用户。
    3. 选择权限策略。

      • 使用系统策略

        系统策略下输入框中输入AliyunICE,根据实际需求选择筛选出的权限策略。

        权限策略描述OpenAPI调用权限
        AliyunICEFullAccess管理和操作IMS所有资源的权限。可以调用智能媒体服务所有的OpenAPI。
        AliyunICEReadOnlyAccess只读访问IMS所有资源的权限。可以调用智能媒体服务所有读取类的OpenAPI,例如Get、Describe、Search、List开头的接口。
      • 使用自定义策略

        自定义策略下根据实际需求选择权限策略。如果没有可用的自定义权限策略, 单击新建权限策略,详情请参见创建自定义权限策略自定义策略示例

      说明
      • 每次最多绑定5条策略,如需绑定更多策略,请分次操作。

      • 为控制风险,建议采用最小权限原则。

      • 如果需要使用智能媒体服务端侧(iOS或Android)SDK,由于需要将文件上传到OSS上,因此需要增加OSS的权限,即AliyunOSSFullAccess,或者您可以根据实际情况自定义OSS的权限策略。

    4. 单击确定新增授权,完成用户授权。

  10. 可选:如果RAM账号需要控制台登录权限,请参见启用控制台登录

自定义策略示例

本文以“授予智能媒体服务部分资源的只读访问权限”为例进行参数字段详解,其他策略示例类似,不再重复。

  • 授予智能媒体服务部分资源的只读访问权限

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "ice:GetMediaProducingJob",
            "ice:GetEditingProject",
            "ice:GetMediaInfo",
            "ice:ListMediaBasicInfos",
            "ice:SearchEditingProject"
          ],
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "IpAddress": {
              "acs:SourceIp": "192.168.0.1"
            }
          }
        }
      ]
    }

    参数字段说明:

    参数

    必选

    描述

    Version

    定义了策略的版本,智能媒体服务中Version固定为1。

    Statement

    可以根据业务场景包含多条语义,每条包含对Action、Resource、Effect和Condition的描述。

    Action

    支持的Action操作与OpenAPI对应,格式为ice:API名称,多个使用英文逗号分隔。通过指定授权的Action列表,可以组合出对应的权限分组。所有可用操作,请参见API概览

    Resource

    表示智能媒体服务某个具体的资源或某些资源(支持通配符*),Resource的规则是acs:ice:<regionId>:<accountId>:*。Resource也可以为列表,表示有多个Resource。其中regionId字段暂不支持,请设置为*。由于智能媒体服务现在没有进一步区分资源,因此建议授权媒资库资源时Resource填*acs:ice:*:*:*

    Effect

    授权效果,包括允许(Allow)和拒绝(Deny)。每次请求时,系统会逐条依次匹配检查,所有匹配成功的Statement会根据Effect的值,如果匹配成功的都为Allow,则该条请求允许访问;如果匹配成功有一条为Deny,或者没有任何条目匹配成功,则该条请求禁止访问。

    重要

    当权限策略中同时包含AllowDeny时,遵循Deny优先原则。

    Condition

    表示策略授权的一些条件,可以对访问来源等进行限制,详情请参见条件(Condition)

  • 授予智能媒体服务所有资源的只读访问权限

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "ice:Get*",
            "ice:List*",
            "ice:Search*",
            "ice:Describe*"
          ],
          "Resource": "acs:ice:*:*:*",
          "Effect": "Allow"
        }
      ]
    }
  • 授予智能媒体服务完整权限(包含写权限)

    {
      "Statement": [
        {
          "Effect": "Allow",
          "Action": "ice:*",
          "Resource": "acs:ice:*:*:*"
        }
      ],
      "Version": "1"
    }

后续步骤

获取到AccessKey信息后,您可以根据实际需求安装完服务端SDK后调用OpenAPI,实现业务功能。详情请参见调用OpenAPI流程

相关参考