RAM用户是RAM中的一种实体身份,代表需要访问阿里云的人员或应用程序。通过创建RAM用户并授权,RAM用户就可以访问有权限的云资源。
操作步骤
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择 。
- 在用户页面,单击创建用户。
- 在创建用户页面的用户账号信息区域,设置用户基本信息。
- 登录名称:可包含英文字母、数字、半角句号(.)、短划线(-)和下划线(_),最多64个字符。
- 显示名称:最多包含128个字符。
- 可选:标签:您可以单击
,然后输入标签键和标签值。为RAM用户绑定标签,便于后续基于标签的用户管理。
说明 单击添加用户,可以批量创建多个RAM用户。 - 访问方式选中OpenAPI 调用访问。
- 单击确定并完成手机验证,系统会自动生成RAM用户的AccessKey。
- 单击操作列的复制,保存用户登录名称、登录密码、AccessKey等用户信息。重要 请务必保存好登录密码和AccessKey信息(AccessKey ID和AccessKey Secret),否则后续无法查询。
- 返回用户列表页面,单击已创建RAM用户操作列的添加权限。
- 在添加权限面板,为RAM用户添加权限。
- 可选:如果RAM账号需要控制台登录权限,请参见启用控制台登录。
自定义策略示例
本文以“授予智能媒体服务部分资源的只读访问权限”为例进行参数字段详解,其他策略示例类似,不再重复。
- 授予智能媒体服务部分资源的只读访问权限
{ "Version": "1", "Statement": [ { "Action": [ "ice:GetMediaProducingJob", "ice:GetEditingProject", "ice:GetMediaInfo", "ice:ListMediaBasicInfos", "ice:SearchEditingProject" ], "Resource": "*", "Effect": "Allow", "Condition": { "IpAddress": { "acs:SourceIp": "192.168.0.1" } } } ] }
参数字段说明:
参数 必选 描述 Version 是 定义了策略的版本,智能媒体服务中Version固定为1。 Statement 是 可以根据业务场景包含多条语义,每条包含对Action、Resource、Effect和Condition的描述。 Action 是 支持的Action操作与OpenAPI对应,格式为 ice:API名称
,多个使用英文逗号分隔。通过指定授权的Action列表,可以组合出对应的权限分组。所有可用操作,请参见API概览。Resource 是 表示智能媒体服务某个具体的资源或某些资源(支持通配符 *
),Resource的规则是acs:ice:<regionId>:<accountId>:*
。Resource也可以为列表,表示有多个Resource。其中regionId
字段暂不支持,请设置为*
。由于智能媒体服务现在没有进一步区分资源,因此建议授权媒资库资源时Resource填*
或acs:ice:*:*:*
。Effect 是 授权效果,包括允许(Allow)和拒绝(Deny)。每次请求时,系统会逐条依次匹配检查,所有匹配成功的Statement会根据Effect的值,如果匹配成功的都为 Allow
,则该条请求允许访问;如果匹配成功有一条为Deny
,或者没有任何条目匹配成功,则该条请求禁止访问。重要 当权限策略中同时包含Allow
和Deny
时,遵循Deny
优先原则。Condition 否 表示策略授权的一些条件,可以对访问来源等进行限制,详情请参见条件(Condition)。 - 授予智能媒体服务所有资源的只读访问权限
{ "Version": "1", "Statement": [ { "Action": [ "ice:Get*", "ice:List*", "ice:Search*", "ice:Describe*" ], "Resource": "acs:ice:*:*:*", "Effect": "Allow" } ] }
- 授予智能媒体服务完整权限(包含写权限)
{ "Statement": [ { "Effect": "Allow", "Action": "ice:*", "Resource": "acs:ice:*:*:*" } ], "Version": "1" }
后续步骤
获取到AccessKey信息后,您可以根据实际需求安装完服务端SDK后调用OpenAPI,实现业务功能。详情请参见调用OpenAPI流程。