RAM是阿里云提供的资源访问控制服务,RAM Policy是基于用户的授权策略。通过设置RAM Policy,您可以集中管理您的用户(例如员工、系统或应用程序),以及控制用户可以访问您名下资源的权限,例如限制您的用户只拥有对某一个Project的读权限。
此文档已不再维护,建议您使用新版智能媒体管理。
关于智能媒体管理新版与旧版的对比,请参见新旧版本使用指引。
关于新版智能媒体管理如何自定义RAM Policy,请参见自定义RAM Policy。
自定义RAM Policy
通过自定义RAM Policy实现用户权限控制,主要包括如下配置:
Effect
:可选值为Allow
或者Deny
,分别表示允许或者拒绝用户操作。Action
:智能媒体管理对外提供的API操作,格式为imm:<action>
,例如imm:ConvertOfficeFormat
。Action列表的更多信息,请参见API概览。Resource
:智能媒体管理目前只有Project一种资源,格式为acs:imm:<region-id>:<uid>:projects/<project>
,例如acs:imm:cn-shanghai:150910xxxxxxxxxx:projects/imm-test-doc-proj
。对于Project相关的操作例如PutProject
、ListProject
等API,如果无对应操作资源时,需要设置Resource
为*
。
更多关于权限策略的信息请参考创建自定义策略。
常见示例
完全授权
RAM Policy将允许用户访问使用智能媒体管理的所有功能。
{ "Version": "1", "Statement": [ { "Action": "imm:*", "Resource": "*", "Effect": "Allow" } ] }
授权通配
RAM Policy支持通配符
*
,可以实现批量授权,如下示例将允许用户调用在所有地域以imm-test-doc
开头的Project下的可读操作。{ "Statement": [ { "Effect": "Allow", "Action": ["imm:List*", "imm:Get*"], "Resource": "acs:imm:*:150910xxxxxxxxxx:projects/imm-test-doc-*" } ], "Version": "1" }
授权特定Project的特定操作
如下示例表示允许用户访问
ListProjects
接口,允许用户访问ConvertOfficeFormat
和CreateOfficeConversionTask
接口,并且仅能操作华东2(上海)地域的imm-test-doc-proj项目;允许用户访问CreateGroupFacesJob和CreateMergeFaceGroupsJob接口,并且仅能操作华东2(上海)地域的imm-test-media-proj项目。{ "Statement": [ { "Effect": "Allow", "Action": ["imm:ListProjects"], "Resource": "*" }, { "Effect": "Allow", "Action": ["imm:ConvertOfficeFormat", "imm:CreateOfficeConversionTask"], "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:projects/imm-test-doc-proj" }, { "Effect": "Allow", "Action": ["imm:CreateGroupFacesJob", "imm:CreateMergeFaceGroupsJob"], "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:projects/imm-test-media-proj" } ], "Version": "1" }