智能媒体服务通过使用AccessKey,可以验证操作请求发送者的身份,有效阻止非法请求。通过阅读本文,您可以了解各AccessKey类型的基本概念和差异。
AccessKey类型说明
智能媒体服务会对每一次发起操作请求的用户身份进行验证,通过AccessKey(包含AccessKey ID和AccessKey Secret)验证该账号是否拥有相应的权限。当前AccessKey支持以下三种类型:
- 主账号AccessKey
特指智能媒体服务开通者的AccessKey,每个阿里云主账号提供的AccessKey对拥有的资源具有完全的权限,且最多拥有不超过5个启用或禁用AccessKey。您可以登录AccessKey管理控制台新增或删除AccessKey,每个AccessKey对都有启用和禁用两种状态,只有启用的AccessKey才能在身份验证时使用。
重要 由于主账号AccessKey有完全的权限,一旦泄露风险巨大,不建议使用其访问智能媒体服务资源。 - RAM用户AccessKey
RAM是指阿里云提供的资源访问控制服务。RAM用户AccessKey是指通过RAM被授权的AccessKey,这组AccessKey只能按照RAM定义的规则去访问智能媒体服务资源。通过RAM,您可以集中管理您的用户(例如:员工、系统或应用程序等),以及控制用户可以访问您名下哪些资源的权限。RAM用户从属于主账号,RAM用户不能拥有实际的任何资源,所有资源都属于主账号。您可以登录RAM控制台创建RAM用户并授予相应权限,详情请参见创建RAM用户并授权。
- STS临时AccessKey
STS是指阿里云提供的临时访问凭证服务。STS临时AccessKey是指通过STS颁发带时效性的AccessKey,这组AccessKey只能按照STS定义的规则去访问智能媒体服务资源,且会定期失效。您可以登录RAM控制台创建RAM角色并进行STS授权,详情请参见创建RAM角色并进行STS授权。
不同验证方式对比
验证方式 | 风险 | 权限 | 时效 | 适用场景 |
---|---|---|---|---|
主账号AccessKey | 极大 | 管理和操作IMS所有资源的权限 | 启用后一直有效 | 超级管理员进行操作,不建议在程序里使用,尤其不要放到客户端。 |
RAM用户AccessKey | 较大 | 根据授权策略获得相应的权限 | 启用后一直有效 | 授权进行具体的媒资注册、媒资查询、剪辑合成任务提交、剪辑合成任务查询等操作,可准备多个子账号,如果AccessKey泄露(例如,人员离职等)需要更换,建议在服务端使用。 |
STS临时AccessKey | 安全 | 根据授权策略获得相应的权限 | 自定义过期时间 | 移动端或Web端使用,需要您自己部署服务端生成STS临时AccessKey,且要处理好临时AccessKey失效的情况。 |
授权策略
智能媒体服务提供以下两种系统授权策略,您可以根据实际需求对RAM用户授权:
权限策略 | 描述 | OpenAPI调用权限 |
---|---|---|
AliyunICEFullAccess | 管理和操作IMS所有资源的权限。 | 可以调用智能媒体服务所有的OpenAPI。 |
AliyunICEReadOnlyAccess | 只读访问IMS所有资源的权限。 | 可以调用智能媒体服务所有读取类的OpenAPI,例如Get、Describe、Search、List开头的接口。 |
如果系统授权策略无法满足您个性化的授权需求,可以进行自定义授权策略。具体操作,请参见使用自定义策略。