Buat kebijakan kustom - ApsaraVideo Live

Anda dapat menggunakan kebijakan kustom untuk memenuhi berbagai persyaratan kontrol akses. Konsol Resource Access Management (RAM) memungkinkan Anda mengonfigurasi kebijakan kustom dalam mode visualisasi atau mode skrip. Topik ini menjelaskan istilah, skenario, prosedur, sintaks, dan contoh kebijakan kustom.

Skema

Kebijakan sistem bersifat kasar. Anda dapat membuat kebijakan RAM kustom untuk kontrol akses yang lebih halus.

Sebagai contoh, jika Anda ingin memberikan izin kepada pengguna RAM hanya untuk menanyakan pengaturan snapshot domain streaming, Anda dapat membuat kebijakan kustom.

Prosedur

Contoh berikut ini menjelaskan cara membuat kebijakan kustom.

Contoh 1: Berikan izin kepada pengguna RAM untuk menanyakan pengaturan snapshot domain streaming

Jika Anda ingin memberikan izin kepada pengguna RAM hanya untuk menanyakan pengaturan snapshot domain streaming, Anda dapat melakukan langkah-langkah berikut:

Pada tab Visual editor halaman Buat Kebijakan di Konsol RAM, pilih Media Services > ApsaraVideo Live.
Buka Read actions, masukkan DescribeLiveSnapshotConfig di kotak pencarian Filter actions lalu pilih live:DescribeLiveSnapshotConfig. Operasi DescribeLiveSnapshotConfig dapat dipanggil untuk menanyakan pengaturan snapshot domain streaming.
Klik OK.
Tentukan nama untuk kebijakan di kolom Nama dan klik OK.
Buat pengguna RAM dan lampirkan kebijakan yang telah Anda buat ke pengguna RAM. Untuk informasi lebih lanjut, lihat Buat pengguna RAM dan berikan izin kepada pengguna RAM.

Setelah Anda melampirkan kebijakan ke pengguna RAM, jika Anda memanggil operasi DescribeLiveSnapshotConfig sebagai pengguna RAM, sistem akan mengembalikan pengaturan snapshot domain streaming. Jika Anda memanggil operasi lainnya, sistem akan mengembalikan pesan yang menunjukkan bahwa Anda tidak memiliki izin yang sesuai.

Contoh 2: Berikan izin kepada pengguna RAM untuk menanyakan pengaturan snapshot domain streaming dari alamat IP tertentu

Dalam Contoh 1, Anda menerapkan kontrol izin pada pengguna RAM untuk memanggil operasi DescribeLiveSnapshotConfig. Jika Anda ingin melakukan kontrol yang lebih halus pada pengguna RAM, misalnya, membatasi alamat IP yang digunakan oleh pengguna RAM untuk memanggil operasi DescribeLiveSnapshotConfig, Anda dapat melakukan langkah-langkah berikut:

Pada halaman Kebijakan dari konsol RAM, masukkan nama kebijakan yang Anda buat di Contoh 1 di kotak pencarian untuk menemukan kebijakan tersebut.
Klik nama kebijakan untuk pergi ke halaman detail kebijakan.
Pada tab Dokumen Kebijakan, klik Edit Policy Document.
Pada tab Visual editor, buka Kondisi dan klik Add condition. Di kotak dialog yang muncul, pilih acs:SourceIp dari daftar drop-down Key, pilih IpAddress dari daftar drop-down Operator, dan masukkan alamat IP spesifik yang ingin Anda izinkan pengguna RAM gunakan di kolom Nilai. Klik OK.
Pada halaman Ubah Kebijakan, klik OK.

Setelah Anda melakukan operasi sebelumnya, data hanya dapat dikembalikan ketika pengguna RAM memanggil operasi DescribeLiveSnapshotConfig dari salah satu alamat IP yang ditentukan. Jika pengguna RAM menggunakan alamat IP lain, sistem akan mengembalikan pesan yang menunjukkan bahwa pengguna RAM tidak memiliki izin yang sesuai.

Catatan

Untuk informasi lebih lanjut, lihat Buat kebijakan kustom.

Sintaks

Pada tab Dokumen Kebijakan halaman detail kebijakan, kebijakan dijelaskan di editor kode. Kode berikut menyediakan dokumen kebijakan dari Example 2.

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "live:DescribeLiveSnapshotConfig",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:SourceIp": [
                        "127.0.0.1"
                    ]
                }
            }
        }
    ]
}

Deskripsi parameter dalam dokumen kebijakan di atas:

Version
Parameter Versi mendefinisikan versi kebijakan. Sistem menetapkan parameter ini menjadi 1.
Statement
Satu kebijakan dapat berisi beberapa pernyataan. Setiap pernyataan berisi elemen berikut: Action, Effect, Resource, dan Condition. Sistem memeriksa pernyataan setiap permintaan. Pernyataan yang cocok berisi elemen Effect yang nilainya Allow atau Deny. Pernyataan yang cocok dengan Effect diatur ke Deny akan diutamakan. Jika semua pernyataan yang cocok memiliki elemen Effect diatur ke Allow, permintaan lolos autentikasi. Jika satu pernyataan yang cocok memiliki elemen Effect diatur ke Deny atau tidak ada pernyataan yang cocok, permintaan ditolak.
Effect
Effect mendefinisikan efek otorisasi: Allow atau Deny.
Action
Aksi dalam ApsaraVideo Live sesuai dengan operasi API. Nilai Action dalam format live:<Nama Operasi API>. Contoh: live:DescribeLiveSnapshotConfig. Pisahkan beberapa nilai Action dengan koma (,). Anda dapat menentukan beberapa nilai Action untuk mendapatkan grup izin.
Untuk melihat semua operasi yang tersedia, lihat Daftar operasi berdasarkan fungsi.
Resource
Resource menentukan satu atau lebih sumber daya ApsaraVideo Live yang dapat diakses oleh pengguna yang diberi otorisasi. Asterisk (*) dapat digunakan sebagai wildcard. Nilai Resource dalam format acs:{ramCode}:{region}:{accountId}:{relative}. Anda dapat menentukan beberapa sumber daya dengan menggunakan elemen Resource. Nilai valid dari parameter ramCode untuk ApsaraVideo Live: live, cdn, dan live-interaction. Tetapkan bidang region ke asterisk (*). Nilai parameter accountID adalah ID Akun Alibaba Cloud Anda. Parameter relative menentukan sumber daya spesifik, yang umumnya disetel ke asterisk (*), seperti yang ditunjukkan dalam Contoh 2. Untuk beberapa operasi API, Anda dapat menyetel parameter ini ke sumber daya spesifik.
Catatan
Setelah Anda mengonfigurasi kebijakan menggunakan editor visual, kebijakan secara otomatis mencocokkan ramCode yang sesuai dengan operasi API.

Condition

Kondisi menentukan kondisi kontrol akses kebijakan. Elemen ini opsional.

Tabel berikut menjelaskan kondisi yang didukung.

Kondisi	Deskripsi	Nilai valid
acs:SourceIp	Menentukan alamat IP atau blok CIDR.	Alamat IP. Tanda bintang (*) dapat digunakan.
acs:SecureTransport	Menentukan apakah HTTPS digunakan untuk akses.	true atau false
acs:MFAPresent	Menentukan apakah otentikasi multi-faktor (MFA) digunakan selama login pengguna.	true atau false
acs:CurrentTime	Menentukan waktu valid saat permintaan diterima.	Nilai berdasarkan standar ISO 8601. Contoh: 2012-11-11T23:59:59Z.

Catatan

Untuk informasi lebih lanjut tentang elemen dasar dan sintaks kebijakan, lihat Elemen dasar kebijakan dan Struktur dan sintaks kebijakan.

JSON

Setelah Anda memahami sintaksis kebijakan, Anda mungkin ingin mengonfigurasi kebijakan dengan mengedit skrip JSON. Sebagai contoh, jika Anda ingin menambahkan alamat IP 127.0.0.2 ke kebijakan yang dibuat di Contoh 2 dengan mengedit skrip JSON, Anda dapat melakukan operasi berikut:

Pada halaman Kebijakan dari konsol RAM, masukkan nama kebijakan yang Anda buat di Contoh 1 di kotak pencarian untuk menemukan kebijakan tersebut.
Klik nama kebijakan untuk pergi ke halaman detail kebijakan.
Pada tab Dokumen Kebijakan, klik Edit Policy Document. Pada halaman yang muncul, klik tab JSON.
Masukkan 127.0.0.2 untuk parameter acs:SourceIp.
Klik OK. Alamat IP ditambahkan ke kebijakan.

Dokumen kebijakan berikut ditampilkan setelah Anda mengonfigurasi kebijakan.

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "live:DescribeLiveSnapshotConfig",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:SourceIp": [
                        "127.0.0.1",
                        "127.0.0.2"
                    ]
                }
            }
        }
    ]
}

Manajemen versi

Terkadang, setelah Anda memperbarui kebijakan, Anda mungkin ingin kembali ke kebijakan sebelumnya karena alasan tertentu. Dalam hal ini, Anda dapat menggunakan fitur manajemen versi. Prosedur: Di halaman detail kebijakan, klik daftar drop-down Policy Version. Pilih versi target dan klik Set As Default Version.

Penting

Maksimal lima versi dapat dipertahankan untuk sebuah kebijakan.

Penggunaan lanjutan

Anda telah mempelajari cara membuat kebijakan kustom untuk memberikan izin. Sekarang Anda memiliki persyaratan bisnis lebih lanjut berikut ini:

Anda ingin mengontrol izin untuk memanggil operasi AddLiveAppSnapshotConfig yang mengonfigurasi pengaturan snapshot untuk domain streaming.
Anda ingin pengguna RAM yang diberi izin mengonfigurasi pengaturan snapshot hanya untuk Domain A dan Domain B.

Untuk memenuhi persyaratan otorisasi di atas, Anda dapat melakukan langkah-langkah berikut:

Pada tab Visual editor halaman Buat Kebijakan di Konsol RAM, pilih Media Services > ApsaraVideo Live.
Buka Write actions, masukkan AddLiveAppSnapshotConfig di kotak pencarian Filter actions lalu pilih live:AddLiveAppSnapshotConfig. Operasi AddLiveAppSnapshotConfig dapat dipanggil untuk mengonfigurasi pengaturan snapshot untuk domain streaming.
Di bagian Resource, pilih Specified Resource(s) dan klik Add resource. Dalam kotak dialog yang muncul, masukkan asterisk (*) untuk parameter Account, masukkan Domain A untuk parameter Resource, dan klik OK. Tambahkan Domain B dengan melakukan operasi serupa.
Di halaman Buat Kebijakan, klik OK.

Tentukan nama untuk kebijakan di kolom Nama dan klik OK. Kode berikut menyediakan dokumen kebijakan.

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "live:AddLiveAppSnapshotConfig",
            "Resource": [
                "acs:cdn:*:*:domain/domainA",
                "acs:cdn:*:*:domain/domainB"
            ]
        }
    ]
}

Lampirkan kebijakan yang Anda buat ke pengguna RAM.

Setelah Anda melakukan operasi di atas, pengguna RAM yang diberi izin dapat mengonfigurasi pengaturan snapshot hanya untuk Domain A dan Domain B.

Catatan

Operasi API mendukung format kontrol sumber daya yang berbeda. Kami merekomendasikan Anda menggunakan editor visual untuk mengonfigurasi kontrol izin yang lebih halus.