ApsaraVideo Media Processing：Buat role RAM untuk akun Alibaba Cloud tepercaya dan otorisasi role RAM untuk mengakses MPS

Buat role

1. Masuk ke RAM console sebagai pengguna RAM yang memiliki hak administratif.

2. Di panel navigasi sebelah kiri, pilih Identities > Roles.

3. Pada halaman Roles, klik Create Role.

   

4. Pada halaman Create Role, atur parameter Principal Type ke Cloud Account, tentukan akun Alibaba Cloud, lalu klik OK.

   

   • Current Account: Jika Anda ingin pengguna RAM atau role RAM dalam akun Alibaba Cloud Anda meng-assume role RAM ini, pilih Current Account.

   • Other Account: Jika Anda ingin pengguna RAM atau role RAM dalam akun Alibaba Cloud lain meng-assume role RAM ini, pilih Other Account dan masukkan ID akun Alibaba Cloud tersebut. Opsi ini disediakan untuk memberikan izin atas resource yang dimiliki oleh akun Alibaba Cloud berbeda. Untuk informasi selengkapnya, lihat Delegate access across Alibaba Cloud accounts using RAM roles. Anda dapat melihat ID akun Alibaba Cloud Anda di halaman Security Settings.

5. Opsional. Jika Anda hanya ingin role RAM tersebut di-assume oleh pengguna RAM atau role RAM tertentu dalam akun Alibaba Cloud tepercaya, klik Switch to Policy Editor dan ubah kebijakan kepercayaan role RAM di editor tersebut.

   Editor mendukung mode Visual editor dan JSON. Pada contoh berikut, hanya pengguna RAM Alice dalam akun Alibaba Cloud dengan ID 100******0719 yang dapat meng-assume role RAM tersebut.

   • Visual editor

     Tentukan pengguna RAM untuk elemen Principal.

     

     

   • JSON

     Tentukan pengguna RAM untuk field RAM pada parameter Principal.

     {
       "Version": "1",
       "Statement": [
         {
           "Effect": "Allow",
           "Principal": {
             "RAM": "acs:ram::100******0719:user/Alice"
           },
           "Action": "sts:AssumeRole"
         }
       ]
     }

6. Pada kotak dialog Create Role, konfigurasikan parameter Role Name, lalu klik OK.

Berikan izin kepada role

1. Berikan izin kepada role RAM.

   1. Pada halaman Roles, temukan role RAM yang telah Anda buat dan klik Grant Permission di kolom Actions.

   2. Pada panel Grant Permission, atur Resource Scope ke Account.

      Resource Scope	Description
      Account	Izin yang diberikan kepada role RAM berlaku untuk resource dalam akun Alibaba Cloud saat ini.
      Resource Group	Izin yang diberikan kepada RAM user berlaku untuk resource dalam kelompok sumber daya yang ditentukan.

   3. Sistem secara otomatis memasukkan nama role RAM saat ini ke dalam field Principal.

   4. Pada bagian Policy, pilih System Policy, centang satu atau beberapa kebijakan yang diperlukan, lalu klik Grant Permissions. Kemudian, tutup panel tersebut.

      Catatan

      Jika Anda ingin memberikan, mengubah, atau mencabut izin Security Token Service (STS) dari pengguna RAM, lakukan langkah ini dan konfigurasikan pengaturan sesuai kebutuhan.

2. Kaitkan pengguna RAM dengan role RAM.

   1. Di panel navigasi sebelah kiri, pilih Permissions > Policies. Pada halaman Policies, klik Create Policy.

   2. Pada halaman Create Policy, klik tab JSON.

   3. Di editor kode, tetapkan nilai ARN yang Anda peroleh ke parameter Resource. Tentukan parameter Action sesuai kebutuhan. Klik OK.

   4. Klik Optimize di bagian atas. Pada pesan Optimize, klik Perform untuk mengoptimalkan kebijakan.

      Sistem melakukan operasi berikut selama optimasi lanjutan:

      • Memisahkan resource atau kondisi yang tidak kompatibel dengan aksi.

      • Mempersempit cakupan resource.

      • Menghapus duplikasi atau menggabungkan pernyataan kebijakan.

   5. Pada halaman Create Policy, klik OK.

   6. Pada kotak dialog Create Policy, konfigurasikan parameter Policy Name dan Description, lalu klik OK.

   7. Di panel navigasi sebelah kiri, pilih Identities > Users.

   8. Temukan pengguna RAM yang telah Anda buat dan klik Add Permissions di kolom Actions.

   9. Pada bagian Policy, pilih Custom Policy, centang kebijakan yang diperlukan, lalu klik Grant Permissions.