Saat membuat proyek Intelligent Media Management (IMM), Anda harus menentukan peran layanan untuk proyek tersebut. Hal ini memungkinkan layanan IMM mengasumsikan peran tersebut dan mengakses sumber daya cloud yang telah Anda otorisasi, seperti Object Storage Service (OSS). Topik ini menjelaskan cara mengonfigurasi peran layanan dan memberikan izin.
Saat membuat peran layanan, membuat proyek, atau mengubah peran layanan suatu proyek, Anda harus memiliki semua izin yang diberikan kepada peran tersebut. Jika tidak, operasi akan gagal karena izin tidak mencukupi. Lakukan dengan hati-hati.
Membuat peran layanan dan memberikan izin
Otorisasi peran layanan default
Saat pertama kali membuat proyek, otorisasi akses ke sumber daya cloud sesuai prompt.
Pada halaman Otorisasi Akses Sumber Daya Cloud, lihat informasi tentang peran otorisasi default AliyunIMMDefaultRole dan klik Confirm Authorization.
Setelah peran otorisasi dibuat, Anda dapat menggunakan Konsol Resource Access Management (RAM) untuk mengonfigurasi izin detail halus.
Perhatikan bahwa peran layanan AliyunIMMDefaultRole memiliki izin akses tingkat tinggi ke OSS. Jika pengguna RAM dalam akun Alibaba Cloud Anda memiliki izin IMM seperti CreateProject / UpdateProject, pengguna tersebut dapat menyambungkan AliyunIMMDefaultRole dan menggunakan fitur pengindeksan metadata untuk mendaftar atau menganalisis file OSS Anda. Untuk mengontrol izin ini secara tepat, lihat Membuat peran layanan kustom.
Membuat peran layanan kustom
Anda dapat menggunakan Konsol RAM untuk mengonfigurasi peran layanan dan memberikan izin. Untuk informasi selengkapnya, lihat Membuat peran terkait layanan.
Atur Trusted Entity Type menjadi Alibaba Cloud Service.
Masukkan Role Name, pilih Service Role untuk Role Type, dan pilih Intelligent Media Management untuk Trusted Service.
Klik tombol OK untuk membuat peran layanan kustom.
Setelah peran dibuat di Konsol RAM, peran tersebut belum memiliki izin apa pun. Anda harus memberikan izin kepada peran RAM ini. Minimal, berikan izin yang diperlukan untuk OSS dan Message Service (MNS).
Anda dapat membuat kebijakan di Konsol RAM. Gunakan Script Editor untuk membuat kebijakan tersebut.
Kebijakan berikut hanya memberikan izin pada bucket OSS bernama "my-bucket". Saat menyalin dan menggunakan kebijakan ini, gantilah nama bucket dengan nama bucket aktual Anda.
{ "Version": "1", "Statement": [ { "Action": [ "oss:Get*", "oss:List*", "oss:PutBucketLifecycle", "oss:PutBucketNotification", "oss:DeleteBucketNotification", "oss:PutBucketAcl", "oss:PutObjectAcl", "oss:CopyObject", "oss:AppendObject", "oss:PutSymlink", "oss:PutObject", "oss:StartEventRecord", "oss:StopEventRecord", "oss:GetEventRecordStatus" ], "Resource": "acs:oss:*:*:my-bucket/*", "Effect": "Allow" }, { "Action":"mns:*", "Resource": "*", "Effect": "Allow" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "acs:Service": "imm.aliyuncs.com" } } } ] }Sambungkan kebijakan yang telah dibuat ke peran layanan. Untuk informasi selengkapnya, lihat Memberikan izin kepada peran RAM.
Menggunakan peran layanan
Setelah peran layanan dibuat, klik ikon refresh di sebelah kotak input peran layanan. Kemudian, Anda dapat memilih peran layanan baru tersebut untuk membuat proyek Intelligent Media Management, seperti yang ditunjukkan pada gambar berikut.
(Opsional) Memodifikasi izin peran layanan
Anda dapat memodifikasi izin peran tersebut di Konsol RAM. Untuk informasi selengkapnya, lihat Memberikan izin kepada peran RAM.
Saat memodifikasi izin peran layanan, pastikan Anda memberikan setidaknya izin yang diperlukan untuk OSS dan MNS berdasarkan kasus penggunaan Anda. Jika tidak, panggilan API dapat gagal karena izin tidak mencukupi.