RAM(Resource Access Management)是阿里云提供的资源访问控制服务,RAM Policy 是基于用户的授权策略。通过设置 RAM Policy,您可以集中管理您的用户(例如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限,例如限制您的用户只拥有对某一个 Project 的读权限。
操作步骤
- 【访问控制控制台】 → 【人员管理】→【用户】→【添加权限】
-
默认提供两种权限供您选择,如果需要更精细的权限控制,可以参考下面自定义 RAM Policy
-
AliyunIMMReadOnlyAccess
: 只读访问智能媒体管理(IMM)的权限 -
AliyunIMMFullAccess
: 管理智能媒体管理(IMM)的权限
-
自定义 RAM Policy
如果需要更精细的权限控制,可以在 【访问控制控制台】 → 【权限管理】→【权限策略管理】→【创建权限策略】,配置模式选择【脚本配置】。
-
Effect
:Allow
或者Deny
表示允许或者拒绝用户操作 -
Action
: 智能媒体对外提供的 API 操作,格式imm:<action>
,例如:imm:ConvertOfficeFormat
,所有的 Action 列表参考 -
Resource
: 智能媒体目前仅有一种资源就是 Project,格式acs:imm:<region-id>:<uid>:projects/<project>
,例如acs:imm:cn-shanghai:150910xxxxxxxxxx:projects/imm-test-doc-proj
;特别的,对于 Project 相关的操作,对于PutProject
,ListProject
类的 API,没有对应操作资源,需要将这个字段设为*
更多关于权限策略的信息可以参考RAM 相关文档。
常见示例
完全授权
这个 RAM Policy 将允许用户访问使用智能媒体管理的所有功能。
{
"Version": "1",
"Statement": [
{
"Action": "imm:*",
"Resource": "*",
"Effect": "Allow"
}
]
}
授权通配
RAM Policy 支持通配符 *
,可以批量授权,下面 RAM Policy 将允许用户调用在所有地区以 imm-test-doc
开头的所有 Project 下所有的可读操作。
{
"Statement": [
{
"Effect": "Allow",
"Action": ["imm:List*", "imm:Get*"],
"Resource": "acs:imm:*:150910xxxxxxxxxx:projects/imm-test-doc-*"
}
],
"Version": "1"
}
授权特定 Project 的特定操作
下面的 RAM Policy 将
- 允许用户访问
ListProjects
接口 - 允许用户访问
ConvertOfficeFormat
和CreateOfficeConversionTask
接口,并且仅能操作华东2(上海)地区的imm-test-doc-proj
这个 project - 允许用户访问
CreateGroupFacesJob
和CreateMergeFaceGroupsJob
接口,并且仅能操作华东2(上海)地区的imm-test-media-proj
这个 project
{
"Statement": [
{
"Effect": "Allow",
"Action": ["imm:ListProjects"],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["imm:ConvertOfficeFormat", "imm:CreateOfficeConversionTask"],
"Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:projects/imm-test-doc-proj"
},
{
"Effect": "Allow",
"Action": ["imm:CreateGroupFacesJob", "imm:CreateMergeFaceGroupsJob"],
"Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:projects/imm-test-media-proj"
}
],
"Version": "1"
}