ApsaraVideo Media Processing (MPS) menggunakan pasangan AccessKey untuk memverifikasi identitas pengguna yang meminta operasi API MPS. Ini secara efektif mencegah permintaan ilegal. Topik ini menjelaskan konsep dasar dari pasangan AccessKey serta perbandingan antara berbagai jenis pasangan AccessKey.
Pasangan AccessKey
MPS memverifikasi identitas pengguna yang meminta operasi API dan menggunakan pasangan AccessKey akun pengguna untuk memeriksa izin pemanggilan operasi tersebut.
Konsep terkait dengan pasangan AccessKey
Pengguna harus menyediakan pasangan AccessKey untuk memanggil operasi API layanan Alibaba Cloud. Pasangan AccessKey digunakan untuk memverifikasi identitas pengguna dan izin akun ketika pengguna meminta operasi API. Sebuah pasangan AccessKey terdiri dari ID AccessKey dan Rahasia AccessKey.
ID AccessKey digunakan untuk memverifikasi identitas pengguna.
Rahasia AccessKey digunakan untuk memverifikasi kunci pengguna. Anda harus menjaga kerahasiaan Rahasia AccessKey Anda.
nullRahasia AccessKey hanya ditampilkan saat pembuatan pasangan AccessKey. Anda tidak dapat menanyakan Rahasia AccessKey dalam operasi selanjutnya. Kami merekomendasikan agar Anda menyimpan Rahasia AccessKey untuk digunakan nanti. Setelah membuat pasangan AccessKey, Anda dapat mengunduh file CSV yang mencatat pasangan AccessKey atau menyalin pasangan tersebut.
Jenis-jenis pasangan AccessKey
Pasangan AccessKey akun Alibaba Cloud
Akun Alibaba Cloud yang digunakan untuk mengaktifkan MPS dapat memiliki hingga lima pasangan AccessKey, termasuk yang diaktifkan dan dinonaktifkan. Setiap pasangan AccessKey dari akun Alibaba Cloud memiliki izin penuh atas sumber daya yang dimiliki oleh akun tersebut. Anda dapat masuk ke Konsol Resource Access Management (RAM) untuk membuat atau menghapus pasangan AccessKey. Setiap pasangan AccessKey dapat diaktifkan atau dinonaktifkan. Hanya pasangan AccessKey yang diaktifkan yang dapat digunakan untuk memverifikasi identitas pengguna.
Pasangan AccessKey akun Alibaba Cloud memberikan akses penuh ke semua sumber daya dan menimbulkan risiko tinggi terhadap kebocoran data jika terungkap. Kami merekomendasikan agar Anda tidak menggunakan pasangan AccessKey akun Alibaba Cloud. Sebagai gantinya, gunakan pasangan AccessKey pengguna RAM untuk memanggil operasi API MPS.
Pasangan AccessKey pengguna RAM
RAM adalah layanan kontrol akses sumber daya yang disediakan oleh Alibaba Cloud. Anda dapat menggunakan RAM untuk mengelola pengguna seperti karyawan, sistem, dan aplikasi secara terpusat serta mengontrol izin akses pengguna pada sumber daya Anda.
Pasangan AccessKey pengguna RAM diberi otorisasi di RAM. Pasangan AccessKey tersebut dapat digunakan untuk mengakses MPS hanya berdasarkan aturan yang ditentukan oleh RAM. Anda dapat membuat hingga dua pasangan AccessKey untuk setiap pengguna RAM. Pasangan AccessKey tersebut dapat diaktifkan atau dinonaktifkan. Pengguna RAM berada di bawah akun Alibaba Cloud dan tidak memiliki sumber daya. Semua sumber daya hanya dimiliki oleh akun Alibaba Cloud. Anda dapat masuk ke Konsol RAM untuk membuat pengguna RAM dan memberikan izin kepada pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM dan Berikan Izin kepada Pengguna RAM.
Pasangan AccessKey sementara STS
Security Token Service (STS) adalah layanan Alibaba Cloud yang menyediakan kredensial akses sementara. Pasangan AccessKey sementara STS adalah pasangan AccessKey yang dikeluarkan oleh STS dan valid untuk periode waktu tertentu. Pasangan AccessKey tersebut dapat digunakan untuk mengakses sumber daya MPS hanya berdasarkan aturan yang ditentukan oleh STS dan kedaluwarsa setelah periode validitas berakhir. Anda dapat masuk ke Konsol RAM untuk membuat peran RAM dan memberikan izin STS kepada peran RAM. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Akun Alibaba Cloud Tepercaya dan Otorisasi Peran RAM untuk Mengakses MPS.
Perbandingan di antara berbagai jenis pasangan AccessKey
Tipe pasangan AccessKey | Tingkat risiko | Izin | Periode validitas | Skenario |
Pasangan AccessKey akun Alibaba Cloud | Sangat tinggi | Izin untuk mengelola dan mengoperasikan semua sumber daya MPS | Secara permanen valid setelah pasangan AccessKey diaktifkan | Pasangan AccessKey akun Alibaba Cloud dapat digunakan oleh administrator super untuk melakukan operasi. Kami merekomendasikan agar Anda tidak menggunakan pasangan AccessKey akun Alibaba Cloud dalam program, terutama pada klien. |
Pasangan AccessKey pengguna RAM | Tinggi | Izin yang diberikan berdasarkan kebijakan | Secara permanen valid setelah pasangan AccessKey diaktifkan | Pasangan AccessKey pengguna RAM digunakan untuk memberi otorisasi kepada pengguna RAM untuk melakukan operasi seperti transkode dan menangkap snapshot. Anda dapat membuat beberapa pengguna RAM untuk mencegah kebocoran pasangan AccessKey. Misalnya, kebocoran pasangan AccessKey dapat terjadi jika seorang karyawan mengundurkan diri. Kami merekomendasikan agar Anda menggunakan pasangan AccessKey pengguna RAM pada server. |
Pasangan AccessKey sementara STS | Rendah | Izin yang diberikan berdasarkan kebijakan | Valid sampai periode validitas yang ditentukan berakhir | Jika Anda ingin menggunakan pasangan AccessKey sementara STS pada klien seluler atau web, Anda harus menyebarkan server untuk menghasilkan pasangan AccessKey sementara STS, dan mengambil tindakan yang sesuai ketika pasangan AccessKey sementara tersebut kedaluwarsa. |
Kebijakan
Untuk menggunakan MPS sebagai pengguna RAM, Anda harus memberi otorisasi kepada pengguna RAM untuk mengakses MPS dan OSS. Anda juga dapat memberi otorisasi kepada pengguna RAM untuk mengakses Simple Message Queue (formerly MNS) dan Alibaba Cloud CDN. Anda harus menggunakan kebijakan sistem untuk memberikan izin pada MPS kepada pengguna RAM. Anda dapat menggunakan kebijakan sistem atau kebijakan kustom untuk memberikan izin pada layanan lain kepada pengguna RAM.
Layanan | Deskripsi | Diperlukan | Kebijakan sistem | Kebijakan kustom |
MPS | Untuk mengizinkan pengguna RAM menggunakan MPS, Anda harus memberikan izin penuh pada MPS kepada pengguna RAM. | Ya | Kebijakan sistem AliyunMTSFullAccess yang memiliki semua izin baca dan tulis pada MPS. | Tidak didukung. |
OSS | Untuk mengizinkan pengguna RAM menggunakan MPS, Anda harus memberikan izin baca dan tulis pada OSS kepada pengguna RAM. | Ya | Kebijakan sistem AliyunOSSFullAccess yang memiliki semua izin baca dan tulis pada OSS. | Didukung. Untuk informasi lebih lanjut, lihat bagian selanjutnya dari topik ini. |
Simple Message Queue (formerly MNS) | Untuk menggunakan Simple Message Queue (formerly MNS) untuk berlangganan notifikasi tentang pekerjaan, Anda harus memberikan izin baca dan tulis pada SMQ kepada pengguna RAM. | Tidak | Kebijakan sistem AliyunMNSFullAccess yang memiliki semua izin baca dan tulis pada SMQ. | |
Alibaba Cloud CDN | Untuk menggunakan Alibaba Cloud CDN untuk mempercepat pengiriman konten, Anda harus memberikan izin baca dan tulis pada Alibaba Cloud CDN kepada pengguna RAM. | Tidak | Kebijakan sistem AliyunCDNFullAccess yang memiliki semua izin baca dan tulis pada CDN. |
Jika izin yang diberikan berdasarkan kebijakan sistem tidak dapat memenuhi kebutuhan Anda, Anda dapat menyesuaikan kebijakan otorisasi. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM dan Berikan Izin kepada Pengguna RAM.