全部产品

子账号授权访问媒体转码操作

更新时间:2019-04-09 09:56:20

场景

通过阿里云访问控制服务(RAM)可为子帐号授予相关权限,以达到子帐号在授权范围使用媒体转码(MTS)控制台的目的。子帐号的权限主要包括MTS、OSS、CDN和MNS产品使用权限,规划好该子帐号拥有这些服务的资源实例后即可按相应的授权模版创建授权策略,并授予给该子帐号即可。

操作过程

  1. 子账户创建

    1. 登录RAM控制台
    2. 单击用户 > 新建用户
    3. 创建登录名称及密码
    4. 单击确定,子账号创建成功。1
      • 如果RAM未开启请先参考RAM开启进行开通。
      • 如果子账号需要通过API/SDK操作相关产品建议勾选“为该用户自动生成AccessKey”,即会给该子账号生成AccessKeyId和AccessKeySecret。为保证AccessKeySecret的安全性,仅会在生成时可以查看,请注意妥善保存。如果忘记了,可以将之前的AccessKeyId和AccessKeySecret删除重新创建。
  2. 子账户授权

    1. 选择新建的子账户,并单击添加权限2

    2. 选择AliyunOSSFullAccess,AliyunCDNFullAccess,AliyunMTSFullAccess和AliyunMNSFullAccess并单击确定,授权完成。3

      此处授权的是MPS服务中所需要的四个产品的全部权限,如果需要更细粒度的权限控制看高级设置。

  3. 子账户登录

    1. 单击概览
    2. 获取RAM用户登录地址,单击链接。4

    3. 输入账户密码登录体bucket,进入媒体转码控制台操作。

      子账户初次登录需要重置密码。

  4. 高级设置存在用户需求对各个产品进行更细权限的控制,可以创建自定义权限,将对应的自定义权限授权子账户。

    • 创建自定义授权策略
    1. 选择权限管理 > 权限策略管理
    2. 单击新建授权策略,填入对应授权策略。5

      授权策略可以看OSS授权策略、CDN授权策略或MNS授权策略。

    • OSS授权策略

      权限描述

      • 对指定的输入、输出Bucket有所有操作权限
      • 有查看Bucket列表权限
        1. {
        2. "Version": "1",
        3. "Statement": [
        4. {
        5. "Action": [
        6. "oss:*"
        7. ],
        8. "Resource": [
        9. "acs:oss:*:*:$InputBucket",
        10. "acs:oss:*:*:$InputBucket/*",
        11. "acs:oss:*:*:$OutputBucket",
        12. "acs:oss:*:*:$OutputBucket/*"
        13. ],
        14. "Effect": "Allow"
        15. },
        16. {
        17. "Action": [
        18. "oss:ListBuckets"
        19. ],
        20. "Resource": "*",
        21. "Effect": "Allow"
        22. }
        23. ]
        24. }
        • $InputBucket:VOD媒体输入Bucket,填入具体工作流中要涉及到的bucket名称。$OutputBucket:VOD媒体输出Bucket,填入具体工作流中要涉及到的bucket名称。
        • 这里的oss:ListBuckets权限是子账号需要通过可视化工具操作OSS必备的权限,该权限赋予后子账号登陆可以查看到所有的bucket列表,但是仅能操作前面赋权的$InputBucket和$OutputBucket这两个bucket,并且该权限暂时仅支持赋权给所有的bucket,不支持赋权给某个bucket。
    • MNS授权策略权限描述

      • 对指定的Queue、Topic有所有权限
      • 有查询Queue、Topic的权限
        1. {
        2. "Version": "1",
        3. "Statement": [
        4. {
        5. "Action": [
        6. "mns:*"
        7. ],
        8. "Resource": [
        9. "acs:mns:$Region:$Uid:/queues/$QueueName",
        10. "acs:mns:$Region:$Uid:/topics/$TopicName",
        11. ],
        12. "Effect": "Allow"
        13. },
        14. {
        15. "Action": [
        16. "mns:Get*",
        17. "mns:List*"
        18. ],
        19. "Resource": "*",
        20. "Effect": "Allow"
        21. }
        22. ]
        23. }
        • $QueueName:MNS队列名称,填入具体工作流中要涉及到的队列名称。
        • $TopicName:MNS通知主题名称,填入具体工作流中要涉及到的通知名称。
    • CDN授权策略

      权限描述

      • 对指定的CDN加速域名有所有权限

      • 有查询CDN加速域名的权限

        1. {
        2. "Version": "1",
        3. "Statement": [
        4. {
        5. "Action": "cdn:*",
        6. "Resource": [
        7. "acs:cdn:*:$Uid:domain/$DomainName"
        8. ],
        9. "Effect": "Allow"
        10. },
        11. {
        12. "Action": "cdn:Describe*",
        13. "Resource": "*",
        14. "Effect": "Allow"
        15. }
        16. ]
        17. }

        $DomainName:CDN加速域名名称,填入具体工作流中要涉及到的cdn域名名称。