文档

智能媒体服务自定义权限策略参考

更新时间:

如果系统权限策略不能满足您的要求,您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控,是提升资源访问安全的有效手段。本文介绍智能媒体服务使用自定义权限策略的场景和策略示例。

什么是自定义权限策略

在基于RAM的访问控制体系中,自定义权限策略是指在系统权限策略之外,您可以自主创建、更新和删除的权限策略。自定义权限策略的版本更新需由您来维护。

  • 创建自定义权限策略后,需为RAM用户、用户组或RAM角色绑定权限策略,这些RAM身份才能获得权限策略中指定的访问权限。

  • 已创建的权限策略支持删除,但删除前需确保该策略未被引用。如果该权限策略已被引用,您需要在该权限策略的引用记录中移除授权。

  • 自定义权限策略支持版本控制,您可以按照RAM规定的版本管理机制来管理您创建的自定义权限策略版本。

操作文档

常见自定义权限策略场景及示例

本文以“授予智能媒体服务部分资源的只读访问权限”为例进行参数字段详解,其他策略示例类似,不再重复。

  • 授予智能媒体服务部分资源的只读访问权限

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "ice:GetMediaProducingJob",
            "ice:GetEditingProject",
            "ice:GetMediaInfo",
            "ice:ListMediaBasicInfos",
            "ice:SearchEditingProject"
          ],
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "IpAddress": {
              "acs:SourceIp": "192.168.0.1"
            }
          }
        }
      ]
    }

    参数字段说明:

    参数

    必选

    描述

    Version

    定义了策略的版本,智能媒体服务中Version固定为1。

    Statement

    可以根据业务场景包含多条语义,每条包含对Action、Resource、Effect和Condition的描述。

    Action

    支持的Action操作与OpenAPI对应,格式为ice:API名称,多个使用英文逗号分隔。通过指定授权的Action列表,可以组合出对应的权限分组。所有可用操作,请参见API概览

    Resource

    表示智能媒体服务某个具体的资源或某些资源(支持通配符*),Resource的规则是acs:ice:<regionId>:<accountId>:*。Resource也可以为列表,表示有多个Resource。其中regionId字段暂不支持,请设置为*。由于智能媒体服务现在没有进一步区分资源,因此建议授权媒资库资源时Resource填*acs:ice:*:*:*

    Effect

    授权效果,包括允许(Allow)和拒绝(Deny)。每次请求时,系统会逐条依次匹配检查,所有匹配成功的Statement会根据Effect的值,如果匹配成功的都为Allow,则该条请求允许访问;如果匹配成功有一条为Deny,或者没有任何条目匹配成功,则该条请求禁止访问。

    重要

    当权限策略中同时包含AllowDeny时,遵循Deny优先原则。

    Condition

    表示策略授权的一些条件,可以对访问来源等进行限制,详情请参见条件(Condition)

  • 授予智能媒体服务所有资源的只读访问权限

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "ice:Get*",
            "ice:List*",
            "ice:Search*",
            "ice:Describe*"
          ],
          "Resource": "acs:ice:*:*:*",
          "Effect": "Allow"
        }
      ]
    }
  • 授予智能媒体服务完整权限(包含写权限)

    {
      "Statement": [
        {
          "Effect": "Allow",
          "Action": "ice:*",
          "Resource": "acs:ice:*:*:*"
        }
      ],
      "Version": "1"
    }

授权信息参考

使用自定义权限策略,您需要了解业务的权限管控需求,并了解智能媒体服务的授权信息。详细内容请参见授权信息

  • 本页导读 (1)