Buat pengguna RAM untuk MPS dan otorisasi pengguna RAM untuk mengakses MPS - ApsaraVideo Media Processing

Anda dapat membuat pengguna Resource Access Management (RAM) dan memberikan izin kepada pengguna RAM untuk mengakses berbagai sumber daya. Anda dapat menggunakan ApsaraVideo Media Processing (MPS) sebagai pengguna RAM untuk mencegah risiko keamanan akibat kebocoran pasangan AccessKey atau kata sandi. Untuk memungkinkan pengguna RAM menggunakan MPS, Anda harus mengotorisasi akses ke layanan berikut sesuai dengan kebutuhan bisnis Anda: MPS, Object Storage Service (OSS), RAM, Simple Message Queue (formerly MNS), dan Alibaba Cloud CDN. Topik ini menjelaskan cara membuat pengguna RAM dan mengotorisasi pengguna RAM untuk menggunakan MPS.

Catatan

Jika pengguna RAM tidak memiliki izin yang diperlukan untuk menggunakan MPS, pesan kesalahan Pengguna tidak berwenang untuk mengoperasikan sumber daya yang ditentukan akan muncul saat Anda melakukan operasi pada MPS sebagai pengguna RAM. Periksa apakah pengguna RAM memiliki izin penuh pada MPS. Jika tidak, berikan izin yang diperlukan dengan mengikuti langkah-langkah di bagian berikutnya.

Prosedur

Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM dengan hak administratif.
Di panel navigasi kiri, pilih Identities > Users.
Di halaman Users, klik Create User.
Di bagian User Account Information pada halaman Create User, konfigurasikan parameter berikut:
- Logon Name: Nama masuk dapat mencapai hingga 64 karakter, termasuk huruf, angka, titik (.), tanda hubung (-), dan garis bawah (_).
- Display Name: Nama tampilan dapat mencapai hingga 128 karakter.
- Tag: Klik ikon dan masukkan kunci tag serta nilai tag. Anda dapat menambahkan satu atau lebih tag ke pengguna RAM untuk memudahkan pengelolaan berdasarkan tag tersebut.
Catatan
Anda dapat mengklik Add User untuk membuat beberapa pengguna RAM sekaligus.
Pilih Using permanent AccessKey to access untuk parameter Access Mode.
Klik OK dan lengkapi verifikasi keamanan. Pasangan AccessKey akan dibuat secara otomatis untuk pengguna RAM.
Klik Copy di kolom Actions dan simpan informasi pengguna yang disalin, termasuk nama pengguna, kata sandi, ID AccessKey, dan Rahasia AccessKey.
Penting
Jaga keamanan pasangan AccessKey. Rahasia AccessKey hanya ditampilkan saat pengguna RAM dibuat. Anda tidak dapat melihat Rahasia AccessKey setelah Anda menutup halaman pembuatan.
Di halaman Pengguna, temukan pengguna RAM yang telah dibuat dan klik Add Permissions di kolom Actions.

Di panel Grant Permission, konfigurasikan parameter berikut:

Konfigurasikan parameter Ruang Lingkup Sumber Daya untuk menentukan ruang lingkup otorisasi.

Nilai valid	Deskripsi
Akun	Izin yang diberikan kepada pengguna RAM berlaku pada sumber daya dalam akun Alibaba Cloud saat ini.
ResourceGroup	Izin yang diberikan kepada pengguna RAM hanya berlaku pada sumber daya dalam grup sumber daya yang ditentukan.

Konfigurasikan parameter Principal untuk menentukan principal.
Principal adalah pengguna RAM yang ingin Anda berikan izin.
Pilih kebijakan di bagian Kebijakan. Untuk informasi lebih lanjut tentang layanan yang perlu diotorisasi dan kebijakan yang didukung, lihat bagian Kebijakan dari topik ini.
- Gunakan kebijakan sistem
  Klik Semua Jenis lalu pilih Kebijakan Sistem. Masukkan nama kebijakan di kotak pencarian untuk mencari kebijakan yang ingin Anda lampirkan ke pengguna RAM. Lalu, klik nama kebijakan untuk menambahkannya ke bagian Kebijakan Terpilih.
- Gunakan kebijakan kustom
  Anda dapat mengelola izin secara mendetail dengan menggunakan kebijakan kustom. Setelah membuat kebijakan kustom, Anda dapat mencarinya dan melampirkannya ke pengguna RAM. Untuk informasi lebih lanjut tentang cara membuat kebijakan kustom, lihat bagian Buat Kebijakan Kustom dari topik ini.

Klik Grant permissions.

Kebijakan

Untuk menggunakan MPS sebagai pengguna RAM, Anda harus mengotorisasi pengguna RAM untuk mengakses MPS dan OSS. Anda juga dapat mengotorisasi pengguna RAM untuk mengakses Simple Message Queue (formerly MNS) dan Alibaba Cloud CDN. Gunakan kebijakan sistem untuk memberikan izin pada MPS kepada pengguna RAM. Anda dapat menggunakan kebijakan sistem atau kebijakan kustom untuk memberikan izin pada layanan lain kepada pengguna RAM.

Layanan	Deskripsi	Diperlukan	Kebijakan sistem	Kebijakan kustom
MPS	Untuk memungkinkan pengguna RAM menggunakan MPS, Anda harus memberikan izin penuh pada MPS kepada pengguna RAM.	Ya	Kebijakan sistem AliyunMTSFullAccess yang memiliki semua izin baca dan tulis pada MPS.	Tidak didukung.
OSS	Untuk memungkinkan pengguna RAM menggunakan MPS, Anda harus memberikan izin baca dan tulis pada OSS kepada pengguna RAM.	Ya	Kebijakan sistem AliyunOSSFullAccess yang memiliki semua izin baca dan tulis pada OSS.	Didukung. Untuk informasi lebih lanjut, lihat bagian selanjutnya dari topik ini.
Simple Message Queue (formerly MNS)	Untuk menggunakan Simple Message Queue (formerly MNS) untuk berlangganan notifikasi tentang pekerjaan, Anda harus memberikan izin baca dan tulis pada SMQ kepada pengguna RAM.	Tidak	Kebijakan sistem AliyunMNSFullAccess yang memiliki semua izin baca dan tulis pada SMQ.
Alibaba Cloud CDN	Untuk menggunakan Alibaba Cloud CDN untuk mempercepat pengiriman konten, Anda harus memberikan izin baca dan tulis pada Alibaba Cloud CDN kepada pengguna RAM.	Tidak	Kebijakan sistem AliyunCDNFullAccess yang memiliki semua izin baca dan tulis pada CDN.

Buat kebijakan kustom

Masuk ke Konsol RAM dengan akun Alibaba Cloud.
Di panel navigasi kiri, pilih Permissions > Policies.
Di halaman Kebijakan, klik Create Policy. Di halaman Buat Kebijakan, klik tab JSON.
Masukkan dokumen kebijakan di editor kode dan klik OK.
Catatan
Anda dapat mengimpor kebijakan sistem atau menempelkan kode template kebijakan yang dijelaskan dalam bagian berikut di editor kode.

Konfigurasikan parameter seperti Name dan Description.
Klik OK.

Contoh kebijakan kustom untuk membatasi alamat IP dari mana dan periode waktu di mana pengguna RAM diizinkan mengakses MPS

Pengguna RAM hanya dapat mengakses MPS dari 192.0.2.0/24 dan 203.0.113.2.
Pengguna RAM hanya dapat mengakses MPS sebelum pukul 17:00 pada tanggal 12 Agustus 2019 (UTC+8).

{
  "Version": "1",
    "Statement": [{
      "Effect": "Allow",
      "Action": [
        "mts:*",
        "mts-inner:*"
      ],
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "acs:SourceIp": [
            "192.0.2.0/24",
            "203.0.113.2"
          ]},
        "DateLessThan": {
          "acs:CurrentTime": "2019-08-12T17:00:00+08:00"
       }
     }
  ]
}

Contoh kebijakan kustom untuk OSS

Berikan pengguna RAM izin untuk melakukan semua operasi pada bucket input dan output yang ditentukan.
Berikan pengguna RAM izin untuk menanyakan bucket.

{    
  "Version": "1",
    "Statement": [{
      "Effect": "Allow",
      "Action": [
        "oss:ListBuckets"
      ],
      "Resource": "*"
    }, {
      "Effect": "Allow",
      "Action": [
        "oss:*"
      ],
      "Resource": [
        "acs:oss:*:*:$InputBucket",
        "acs:oss:*:*:$InputBucket/*",
        "acs:oss:*:*:$OutputBucket",
        "acs:oss:*:*:$OutputBucket/*
      ]
    }
  ]
}

Deskripsi Parameter

Parameter	Deskripsi
oss:ListBuckets	Izin oss:ListBuckets diperlukan untuk pengguna RAM untuk melakukan operasi pada OSS menggunakan alat visualisasi. Setelah izin diberikan kepada pengguna RAM, pengguna RAM dapat menanyakan semua bucket. Namun, pengguna RAM hanya dapat mengelola bucket input dan output yang ditentukan dalam kebijakan. Izin oss:ListBuckets hanya berlaku untuk semua bucket.
oss:*	Semua izin pada OSS. Anda juga dapat mengganti "oss:*" dengan izin spesifik berikut berdasarkan kebutuhan bisnis Anda. "oss:GetObject", "oss:PutObject", "oss:GetObjectAcl", "oss:PutObjectAcl", "oss:AbortMultipartUpload", "oss:ListParts", "oss:RestoreObject", "oss:GetVodPlaylist", "oss:PostVodPlaylist", "oss:PublishRtmpStream", "oss:ListObjectVersions", "oss:GetObjectVersion", "oss:GetObjectVersionAcl", "oss:RestoreObjectVersion"
$InputBucket	Bucket yang menyimpan file input.
$OutputBucket	Bucket yang menyimpan file output.

Untuk informasi lebih lanjut, lihat Contoh.

Contoh kebijakan kustom untuk RAM

Berikan pengguna RAM izin untuk menanyakan kebijakan yang dilampirkan pada peran RAM.

{
  "Version": "1",
    "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ram:ListPoliciesForRole"
      ],
      "Resource": "*"
    }
  ]
}

Contoh kebijakan kustom untuk SMQ

Berikan pengguna RAM izin untuk menanyakan antrian dan topik.
Berikan pengguna RAM izin untuk melakukan semua operasi baca dan tulis pada antrian dan topik yang ditentukan.

{
  "Version": "1",
    "Statement": [{
      "Effect":"Allow",
      "Action":[
        "mns:ListQueue",
        "mns:ListTopic",
        "mns:GetQueueAttributes",
        "mns:GetTopicAttributes"
      ],
      "Resource":"acs:mns:*:*:*"
    }, {
      "Effect": "Allow",
      "Action": "mns:*",
      "Resource": [
        "acs:mns:$Region:$Uid:/queues/$QueueName", 
        "acs:mns:$Region:$Uid:/topics/$TopicName"
      ]
    }
  ]
}

Deskripsi Parameter

Parameter	Deskripsi
$QueueName	Nama antrian SMQ yang akan dikaitkan dengan antrian MPS atau alur kerja.
$TopicName	Nama topik SMQ yang akan dikaitkan dengan antrian MPS atau alur kerja.

Untuk lebih banyak contoh, lihat Kebijakan Izin dan Contoh.

Contoh kebijakan kustom untuk Alibaba Cloud CDN

Berikan pengguna RAM izin untuk menanyakan semua domain akselerasi CDN.
Berikan pengguna RAM izin untuk melakukan semua operasi baca dan tulis pada domain akselerasi CDN yang ditentukan.

{
  "Version": "1",
  "Statement": [{
        "Effect": "Allow",
        "Action": "cdn:*",
        "Resource": "acs:cdn:*:$Uid:domain/$DomainName"
        },{
        "Effect": "Allow",
        "Action": "cdn:Describe*",
        "Resource": "*"
      }
  ]
}

Deskripsi Parameter

Parameter	Deskripsi
$DomainName	Domain akselerasi CDN.

Apa yang harus dilakukan selanjutnya

Setelah membuat pengguna RAM dan memberikan izin kepada pengguna RAM, Anda dapat masuk ke Konsol Manajemen Alibaba Cloud sebagai pengguna RAM. Untuk informasi lebih lanjut, lihat Masuk ke Konsol Manajemen Alibaba Cloud sebagai Pengguna RAM.