全部产品
云市场

概述

更新时间:2018-11-20 09:57:08

账号权限验证

您可以使用VOD提供的RESTful API接口或SDK(包括接口SDK、上传、播放和短视频SDK等)开发包访问VOD。VOD会对每一次发起的请求根据当前的操作验证用户身份,即该账号是否拥有相应的权限。验证用户身份都需要使用AccessKey。

AccessKey(访问密钥)

AccessKey,简称AK,指的是访问身份验证中用到的AccessKeyId和AccessKeySecret。VOD通过使用AccessKeyId和 AccessKeySecret对称加密的方法来验证某个请求的发送者身份。AccessKeyId用于标识用户,AccessKeySecret是用户用于加密签名字符串和VOD用来验证签名字符串的密钥,其中AccessKeySecret必须保密。

目前访问VOD使用的AK有三种类型,具体如下:

主账号AK

主账号AK特指VOD开通者(即阿里云网站注册的账号)的AK,每个阿里云主账号提供的AK对拥有的资源有完全的权限。每个阿里云主账号能够同时拥有不超过5个启用或者禁用的 AK 对(AccessKeyId和AccessKeySecret)。您可以登录AccessKey管理控制台,申请新增或删除 AK 对。每个 AK 对都有启用/禁用两种状态,只有启用的 AK 对才能在身份验证时使用。

由于主账号 AK 有完全的权限,一旦泄露风险巨大,不建议使用其访问 VOD 服务。

RAM子账号AK

RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。RAM 账号 AK 指的是通过 RAM 被授权的 AK。这组 A K只能按照RAM定义的规则去访问VOD的资源。通过RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。比如能够限制您的用户只拥有视频播放权限。子账号是从属于主账号的,并且这些账号下不能拥有实际的任何资源,所有资源都属于主账号。

您可以登录RAM访问控制台 创建用户(即子账号),获取AK,并授予相应权限。

STS临时AK

STS(Security Token Service)是阿里云提供的临时访问凭证服务。STS临时AK指的是通过STS颁发的带时效性AK。这组AK只能按照STS定义的规则去访问VOD的资源,且会定期失效。

不同验证方式的对比

验证方式 风险 权限 时效 适用场景
主账号AK 极大 管理和操作VOD所有资源的权限 启用后一直有效 超级管理员进行操作,不建议在程序里使用,尤其不要放到客户端
RAM子账号AK 较大 根据授权策略获得相应的权限 启用后一直有效 授权进行具体的上传、播放、管理等操作,可准备多个子账号,如遇AK泄露(人员离职等)需要更换;建议在服务端使用
STS临时AK 安全 根据授权策略获得相应的权限 自定义过期时间 移动端或Web端使用,需要自己部署服务端生成STS临时AK,要处理好临时AK失效的情况

系统授权策略

VOD提供了四种系统授权策略,可对子账号或STS账号进行方便、精确的授权。

策略名称 说明 操作权限
AliyunVODFullAccess 管理和操作VOD所有资源的权限 VOD所有API
AliyunVODReadOnlyAccess 只读访问VOD所有资源的权限 VOD所有读取类API,如以Get、Describe、Search、List开头的接口
AliyunVODPlayAuth 使用VOD播放视频的权限,包括使用播放器SDK或播放相关的API 播放API:GetPlayInfoGetVideoPlayAuthGetVideoInfo
AliyunVODUploadAuth 使用VOD上传的权限,包括使用上传SDK或上传相关的API 上传API:CreateUploadVideoRefreshUploadVideoCreateUploadImage