全部产品
Search

搜索本产品

    Intelligent Media Management:Memberikan izin kepada pengguna RAM

    文档中心

    Intelligent Media Management:Memberikan izin kepada pengguna RAM

    更新时间:Nov 10, 2025

    Mekanisme pengelolaan izin Alibaba Cloud mencakup Resource Access Management (RAM) dan Security Token Service (STS). Anda dapat mengakses Intelligent Media Management (IMM) sebagai pengguna RAM dengan izin yang ditentukan atau menggunakan kredensial akses sementara yang disediakan oleh STS. RAM dan STS membuat pengelolaan izin dan kontrol akses menjadi lebih fleksibel dan aman.

    Informasi latar belakang

    Salah satu manfaat utama RAM dan STS adalah kemampuan mereka untuk meningkatkan keamanan akun dengan memungkinkan akses sementara ke data dalam akun Alibaba Cloud tanpa mengekspos pasangan AccessKey dari akun tersebut. Jika pasangan AccessKey dari akun Alibaba Cloud bocor, penyerang dapat mengakses semua sumber daya dalam akun dan menyebabkan konsekuensi keamanan yang serius.

    • RAM

      • RAM adalah layanan yang disediakan oleh Alibaba Cloud untuk mengelola identitas pengguna dan izin akses sumber daya. RAM memungkinkan Anda membuat dan mengelola beberapa identitas untuk akun Alibaba Cloud serta memberikan izin kepada satu identitas atau sekelompok identitas. Dengan demikian, Anda dapat memberi otorisasi kepada identitas berbeda untuk mengakses sumber daya Alibaba Cloud yang berbeda. Untuk informasi selengkapnya, lihat Apa itu RAM?

      • RAM menyediakan mekanisme manajemen izin jangka panjang dengan membuat pengguna RAM dan memberi mereka izin berbeda. Dengan cara ini, jika pasangan AccessKey dari pengguna RAM bocor, hanya informasi terbatas yang bocor. Pengguna RAM umumnya tetap valid untuk periode waktu yang lama. Pasangan AccessKey pengguna RAM harus dirahasiakan.

    • STS

      • STS memungkinkan Anda mengelola akses sementara ke sumber daya Alibaba Cloud. Anda dapat menggunakan STS untuk memberikan token akses sementara dengan periode validitas dan izin akses kustom kepada entitas RAM seperti pengguna RAM dan peran RAM. Untuk informasi selengkapnya, lihat Apa itu STS?

      • Berbeda dengan mekanisme pengelolaan izin jangka panjang yang disediakan oleh RAM, STS menyediakan otorisasi akses sementara menggunakan pasangan AccessKey sementara dan token untuk memungkinkan akses sementara ke IMM. STS memberikan izin akses ketat yang hanya berlaku dalam periode waktu terbatas. Oleh karena itu, bahkan jika kredensial akses bocor, sistem Anda tidak terpengaruh secara serius.

    Memberikan izin kepada pengguna RAM

    Untuk meningkatkan keamanan data dan kontrol izin, kami merekomendasikan agar Anda menggunakan layanan IMM sebagai pengguna RAM.

    1. Buat pengguna RAM. Untuk informasi lebih lanjut, lihat Buat pengguna RAM.

    2. Berikan izin kepada pengguna RAM sesuai kebutuhan. Untuk informasi selengkapnya, lihat Berikan izin kepada pengguna RAM.

      • Jika Anda ingin mengelola layanan IMM, seperti membuat proyek, lampirkan kebijakan AliyunIMMFullAccess kepada pengguna RAM.

      • Jika Anda hanya memerlukan izin baca-saja pada layanan IMM untuk melihat informasi seperti proyek, lampirkan kebijakan AliyunIMMReadOnlyAccess kepada pengguna RAM.

    3. Aktifkan autentikasi multi-faktor (MFA) untuk pengguna RAM. Untuk informasi lebih lanjut, lihat Tautkan perangkat MFA ke pengguna RAM.

    Berikan akses sementara

    1. Buat peran sementara dan berikan izin kepada peran tersebut.

      1. Buat peran RAM untuk akun Alibaba Cloud tepercaya. Untuk informasi lebih lanjut, lihat Buat peran RAM untuk akun Alibaba Cloud tepercaya.

      2. Buat kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.

        Catatan

        Untuk menerapkan kontrol izin granular, Anda dapat menyesuaikan izin kebijakan. Untuk informasi lebih lanjut, lihat Kebijakan kustom untuk IMM.

      3. Berikan izin kepada peran sementara. Untuk informasi lebih lanjut, lihat Berikan izin kepada peran RAM.

    2. Berikan izin akses sementara.

      1. Buat kebijakan kustom. Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.

      2. Berikan izin kepada peran sementara yang diasumsikan oleh pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM.

    3. Dapatkan kredensial akses sementara dari STS. Untuk informasi lebih lanjut, lihat AssumeRole.

    4. Gunakan izin sementara untuk membaca dan menulis data.

      Anda dapat menggunakan izin sementara untuk memanggil SDK untuk berbagai bahasa pemrograman guna mengakses IMM. Contoh kode berikut memberikan contoh tentang cara menggunakan IMM SDK untuk Java untuk membuat objek IAcsClient berdasarkan ID AccessKey, rahasia AccessKey, dan token yang diperoleh dari STS:

      DefaultProfile profile = DefaultProfile.getProfile("cn-shanghai", stsAccessKeyId, stsAccessKeySecret, stsToken);
IAcsClient client = new DefaultAcsClient(profile);

    Konfigurasikan kebijakan RAM kustom

    Anda dapat menggunakan kebijakan RAM kustom untuk mengontrol izin pengguna. Tabel berikut menjelaskan komponen utama dari kebijakan RAM.

    Parameter

    Deskripsi

    Effect

    Pengaruh pada tindakan yang diminta. Nilai yang valid:

    • Allow: mengizinkan tindakan.

    • Deny: menolak tindakan.

    Action

    Operasi API yang disediakan oleh Intelligent Media Management. Formatnya adalah imm:<action>, misalnya, imm:CreateOfficeConversionTask. Untuk informasi selengkapnya mengenai daftar Action, lihat Daftar operasi berdasarkan fungsi.

    Resource

    Saat ini, Intelligent Media Management hanya memiliki satu jenis sumber daya: proyek. Formatnya adalah acs:imm:<region-id>:<uid>:project/<project> atau acs:imm:<region-id>:<uid>:project/<project>/dataset/<dataset>, misalnya, acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-doc-proj atau acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-photos/dataset/dataset1. Tabel berikut menjelaskan parameter-parameter tersebut.

    • region-id: ID wilayah, misalnya, cn-shanghai atau cn-beijing.

    • uid: ID akun. Anda dapat melihat ID akun di halaman Overview pada Account Center.

    • project: nama proyek yang ditentukan saat Anda membuat proyek. Anda dapat melihat nama proyek di Konsol Intelligent Media Management.

      Catatan

      Untuk operasi terkait proyek seperti CreateProject dan ListProjects, jika tidak ada sumber daya yang dioperasikan, Anda harus mengatur Resource menjadi *.

    • dataset: nama set data yang ditentukan saat Anda membuat set data. Anda dapat memanggil operasi ListDatasets untuk melihat nama tersebut.

    Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.

    Contoh

    Berikan akses penuh

    Anda dapat menggunakan kebijakan RAM untuk memberikan akses penuh ke IMM. Contoh kode berikut memberikan akses penuh ke IMM:

    {
    "Version": "1",
    "Statement": [
        {
            "Action": "imm:*",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    Berikan akses menggunakan karakter wildcard

    Kebijakan RAM mendukung karakter wildcard (*), yang dapat Anda gunakan untuk otorisasi batch.

    Contoh kode berikut mengizinkan pengguna untuk memanggil operasi baca pada proyek yang namanya diawali dengan imm-test-doc di semua wilayah.

    {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["imm:List*", "imm:Get*"],
            "Resource": "acs:imm:*:150910xxxxxxxxxx:project/imm-test-doc*"
        }
    ],
    "Version": "1"
}

    Berikan izin akses tertentu pada proyek tertentu

    Contoh kode berikut memberikan izin untuk:

    • Memanggil operasi ListProjects.

    • Memanggil operasi CreateOfficeConversionTask untuk mengonversi format dokumen di proyek imm-test-doc-proj di wilayah China (Shanghai).

    • Memanggil operasi CreateFigureClusteringTask dan CreateFigureClustersMergingTask pada data di proyek imm-test-media-proj di wilayah China (Shanghai).

      {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["imm:ListProjects"],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": ["imm:CreateOfficeConversionTask"],
            "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-doc-proj"
        },
        {
            "Effect": "Allow",
            "Action": ["imm:CreateFigureClusteringTask", "imm:CreateFigureClustersMergingTask"],
            "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-media-proj"
        }
    ],
    "Version": "1"
}

    Berikan izin akses tertentu pada dataset tertentu

    Contoh kode berikut memberikan izin untuk:

    {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["imm:ListDatasets"],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": ["imm:IndexFileMeta"],
            "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-doc-proj/dataset/dataset1"
        },
        {
            "Effect": "Allow",
            "Action": ["imm:CreateFigureClusteringTask", "imm:CreateFigureClustersMergingTask"],
            "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-media-proj/dataset/dataset1"
        }
    ],
    "Version": "1"
}