身份与权限管理概述

媒体处理服务通过使用AccessKey,可以验证操作请求发送者的身份,有效阻止非法请求。通过阅读本文,您可以了解各类型AccessKey的基本概念和差异。

AccessKey说明

媒体处理服务会对每一次发起操作请求的用户身份进行验证,通过AccessKey验证该账号是否拥有相应的权限。

AccessKey相关概念

AccessKey(访问密钥,简称AK),是访问阿里云API的密钥,在用户发起API调用请求时对用户身份及账号权限进行验证。AK包含AccessKey ID和AccessKey Secret,需要一起使用。

  • AccessKey ID:用于标识用户。

  • AccessKey Secret:用于验证用户的密钥。AccessKey Secret必须保密。

    说明

    AccessKey Secret只在创建时显示,不支持查询,请妥善保管。(创建AK后及时下载csv文件,或复制将信息保存)

AccessKey类型

阿里云账号AccessKey

指媒体处理服务开通者的AccessKey,每个阿里云账号AccessKey对所属账号拥有的资源既有完全的权限,且最多拥有5组AccessKey(包含启用和禁用)。您可以登录AccessKey控制台新增或删除AccessKey。每组AccessKey都有启用和禁用两种状态,只有启用的AccessKey才能在身份验证时使用。

重要

由于阿里云账号AccessKey具有账户的完全权限,一旦泄露风险巨大,不推荐使用。建议您使用RAM用户的AccessKey进行媒体处理相关服务调用。

RAM用户AccessKey

说明

RAM是阿里云提供的资源访问控制服务。通过RAM,您可以集中管理您的用户(例如:员工、系统或应用程序等),以及控制用户可以访问您名下哪些资源的权限。

RAM用户AccessKey是指通过RAM被授权的AccessKey,这组AccessKey只能按照RAM定义的规则去访问媒体处理服务。每个RAM用户最多允许创建2组AccessKey(包含启用和禁用)。RAM用户从属于主账号,RAM用户不能拥有实际的任何资源,所有资源都属于主账号。您可以登录RAM控制台创建RAM用户并授予相应权限,详情请参见创建RAM用户并授权

STS临时AccessKey

STS是指阿里云提供的临时访问凭证服务。STS临时AccessKey是指通过STS颁发带时效性的AccessKey,这组AccessKey只能按照STS定义的规则去访问媒体处理服务资源,且会定期失效。您可以登录RAM控制台创建RAM角色并进行STS授权。

不同验证方式对比

验证方式

风险

权限

时效

适用场景

阿里云账号AccessKey

极大

管理和操作MPS所有资源的权限

启用后一直有效

超级管理员进行操作,不建议在程序里使用,尤其不要放到客户端。

RAM用户AccessKey

较大

根据授权策略获得相应的权限

启用后一直有效

授权进行具体的转码、截图、等操作,可准备多个子账号,如果AccessKey泄露(例如,人员离职等)需要更换,建议在服务端使用。

STS临时AccessKey

安全

根据授权策略获得相应的权限

自定义过期时间

移动端或Web端使用,需要您自己部署服务端生成STS临时AccessKey,且要处理好临时AccessKey失效的情况。

权限策略说明

使用媒体处理MPS,您必须授权的产品为媒体处理MPS、对象存储OSS,可选授权的产品为轻量消息队列(原 MNS)、播放加速CDN。其中,媒体处理MPS必须使用系统策略授权,其他产品支持系统策略创建自定义策略

所需授权产品

说明

是否必选

使用系统策略

使用自定义策略

媒体处理MPS

使用媒体处理必须授予MTS全部权限

MPS全部读写权限:AliyunMTSFullAccess

不支持

对象存储OSS

使用媒体处理必须授予OSS读写权限

OSS全部读写权限:AliyunOSSFullAccess

支持,请参见下文先创建,再授权

轻量消息队列(原 MNS)

若使用轻量消息队列(原 MNS)订阅任务信息则必须授予MNS权限

否,可选

MNS全部读写权限:AliyunMNSFullAccess

播放加速CDN

若使用媒体处理配置播放加速则必须授予CDN权限

否,可选

CDN全部读写权限:AliyunCDNFullAccess

如果系统授权策略无法满足您个性化的授权需求,可以进行自定义授权策略。具体操作,请参见创建RAM用户并授权