Alibaba Cloud Resource Access Management (RAM) によってサブアカウントに必要な権限を付与し、ApsaraVideo Live コンソールでのライブストリーミングを可能にします。

1 つのプライマリアカウントで複数のサブアカウントを作成できます。 サブアカウントに特定のアクセス権限を許可することにより、リソースや機能の使用に対するアクセスを制限し、一元管理の目的を果たすことができます。 詳細については、「RAM の概要」をご参照ください。

サブアカウントのアクセス許可には、主に ApsaraVideo Live と OSS の使用許可および CDN のリソースオブジェクトを使用する許可が含まれます。 上記サービスのリソースインスタンスのサブアカウントへの割り当てを計画し、対応する許可テンプレートを元に権限付与ポリシーを作成し、その上でサブアカウントへのアクセス権限を与えることを推奨します。

RAM の制限

RAM ユーザーはリソースを所有することができず、独立して課金されることはありません。 このようなユーザーは一元的に管理され、Alibaba Cloud アカウントに課金されます。 各 RAM ユーザーに別々のパスワードやキーを作成することができますが、このようなユーザーは、デフォルトでは、何の操作権限も持っていません。 RAM は、RAM ユーザーにきめ細かい権限を付与するのに役立つ、アクセスポリシーに基づく権限付与を提供します。

ApsaraVideo Live コンソール機能を利用するには、サブアカウントに次の権限を付与する必要があります:

Live (必須): ApsaraVideo Live を使用する権限で、システム標準の AliyunLiveFullAccess 権限付与ポリシーを使用します。

OSS (必須): スクリーンショットストレージサービスを使用する許可を与えます。これは必要に応じてカスタマイズできます。詳しくは、以下の内容をご参照ください。

権限付与操作

ApsaraVideo Live の権限付与

サブアカウントが ApsaraVideo Live を使用する必要がある場合、サブアカウントに ApsaraVideo Live を使用する権限を付与する必要があります。 次の手順で、標準の AliyunLiveFullAccess 権限付与ポリシーを使用することができます。
  1. RAM コンソールにログインします。
  2. [ユーザー] をクリックします。
  3. ログイン名を選択し、操作列から [許可] をクリックして、指定されたサブアカウントに AliyunLiveFullAccess 権限を付与します。

MTS サービス許可

MTS を使用するためにサブアカウントが必要な場合は、そのサブアカウントに MTS を使用する権限を付与する必要があります。 次の手順で、標準の AliyunLiveFullAccess 権限付与ポリシーを使用することができます。
  1. RAM コンソールにログインします。
  2. [ユーザー] をクリックします。
  3. ログイン名を選択し、操作列の [許可] をクリックし、指定されたサブアカウントに AliyunLiveFullAccess 権限を付与します。

カスタム権限付与ポリシー作成の説明

次の手順で、権限付与ポリシーをカスタマイズして、指定されたサブアカウントに割り当てることができます。
  1. RAM コンソールにログインします。
  2. [ポリシー] をクリックします。
  3. [カスタマイズポリシー] をクリックします。
  4. [権限付与ポリシーを作成] をクリックし、指定されたリソースインスタンスについて、次のサンプルに示すとおりカスタム権限付与ポリシーを作成し、指定されたサブアカウントにポリシーを適用します。
    さまざまなサービスのリソースオブジェクトに対して権限付与ポリシーを作成した後、該当するサブアカウントへのアクセス権を付与することができます。

以下に、OSS および CDN の権限付与ポリシーを示します。 必要に応じて、サブアカウントに該当する権限を付与することができます。

OSS 権限付与ポリシー

権限の説明:
  • 指定されたバケット上のすべての操作権限。
  • バケットリストを取得する権限。 
    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "oss:*"
      ],
      "Resource": [
        "acs:oss:*:*:$Bucket",
        "acs:oss:*:*:$Bucket/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "oss:ListBuckets"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

ライブ権限付与ポリシー

権限の説明:
  • 指定された Live CDN ドメイン名に対するすべての操作権限。
  • Live CDN ドメイン名を表示する権限。
{
  "Version": "1",
  "Statement": [
    {
      "Action": "live:*",
      "Resource": [
        "acs:cdn:*:$Uid:domain/$DomainName"
      ],
      "Effect": "Allow"
    },
    {
      "Action": "live:Describe*",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}
次の変数は、各サービスのリソース権限付与ポリシーで使用されます。 実際のリソースインスタンス名で置き換えてください。

変数の説明

  • Uid

    $Uid: Alibaba Cloud アカウント ID。 Alibaba Cloud コンソール > アカウント管理 > セキュリティ設定から照会することができます。

  • バケット

    $Bucket: OSS バケット。

  • ライブ

    $DomainName: Live CDN ドメイン名。