すべてのプロダクト
Search

このプロダクト

    Intelligent Media Management:ドキュメント変換のカスタム権限構成

    ドキュメントセンター

    Intelligent Media Management:ドキュメント変換のカスタム権限構成

    最終更新日:May 17, 2025

    システム権限ポリシーが要件を満たせない場合は、カスタムポリシーを作成して最小権限の原則を実装できます。カスタムポリシーは、きめ細かい権限管理を実現し、リソースアクセスセキュリティを効果的に向上させるのに役立ちます。このトピックでは、Intelligent Media Management (IMM) のドキュメント変換機能のカスタムポリシーのシナリオと例について説明します。

    サービスロールへのカスタム権限の付与

    IMM プロジェクトを作成するときは、プロジェクトのサービスロールを指定する必要があります。これにより、IMM はロールを偽装して、Object Storage Service (OSS) などの他の Alibaba Cloud サービスの承認済みリソースにアクセスできます。

    サービスロールの作成

    1. 通常のサービスロールを作成します。詳細については、「信頼できる Alibaba Cloud サービスの RAM ロールの作成」をご参照ください。

    2. カスタムポリシーを作成します。詳細については、「カスタムポリシーの作成」をご参照ください。

      IMM のドキュメント変換を使用するには、サービスロールに次の権限を付与する必要があります。

      • OSS バケットに対する読み取りおよび書き込み権限。ドキュメント変換を使用する場合、システムは OSS バケットからソースファイルを読み取り、変換されたファイルを OSS バケットに保存する必要があります。

      • Simple Message Queue (SMQ、旧称 MNS) メッセージを送信する権限 (SMQ を使用して通知を受信する場合)。

      • IMM がサービスロールを偽装して、OSS や SMQ などの他の Alibaba Cloud サービスの承認済みリソースにアクセスできるようにするために使用される権限。

    3. サービスロールに権限を付与します。詳細については、「RAM ロールへの権限の付与」をご参照ください。

    サンプルポリシー

    特定の OSS バケットに対する読み取りおよび書き込み権限の付与

    次の RAM ポリシーは、my-bucket という名前のバケットに対する読み取りおよび書き込み権限をサービスロールに付与するために使用されます。サービスロールは、中国 (上海) リージョンの test-topic という名前のトピックに SMQ メッセージを送信できます。

    パラメーターの説明

    OSS の Resource パラメーターは、acs:oss:*:*:<BucketName>/* 形式です。ビジネス要件に基づいてパラメーターを構成できます。次の表に、パラメーターを示します。

    パラメーター

    説明

    BucketName

    OSS バケットの名前。OSS コンソール[バケット] ページで名前を確認できます。

    SMQ の Resource パラメーターは、acs:mns:<RegionId>:<UID>:/topics/<TopicName>/messages 形式です。ビジネス要件に基づいてパラメーターを構成できます。次の表に、パラメーターを示します。

    パラメーター

    説明

    RegionId

    リージョン ID。例:cn-shanghai または cn-beijing。「エンドポイント」で、各リージョンに対応する ID を確認できます。

    UID

    アカウント ID。アカウントセンター[概要] ページで ID を確認できます。

    TopicName

    SMQ トピックの名前。SMQ コンソール[トピック] ページで名前を確認できます。

    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:GetObject",
                "oss:PutObject"
            ],
            "Resource": "acs:oss:*:*:my-bucket/*",
            "Effect": "Allow"
        },
        {
            "Action":"mns:PublishMessage",
            "Resource": "acs:mns:cn-shanghai:150910xxxxxxxxxx:/topics/test-topic/messages",
            "Effect": "Allow"
        },
        {
            "Action": "ram:PassRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "acs:Service": "imm.aliyuncs.com"
                }
            }
        }
    ]
}

    RAM ユーザーへのカスタム権限の付与

    Resource Access Management (RAM) は、異なる権限を持つ RAM ユーザーを作成することにより、永続的な権限制御メカニズムを提供します。 RAM ユーザーの AccessKey ペアが漏洩した場合、潜在的に公開される情報は限られています。

    RAM ユーザーの作成と RAM ユーザーへの権限の付与

    1. RAM ユーザーを作成します。詳細については、「RAM ユーザーの作成」をご参照ください。

    2. カスタムポリシーを作成します。詳細については、「カスタムポリシーの作成」をご参照ください。

      ドキュメントを変換するには、RAM ユーザーに次の権限を付与する必要があります。

      • IMM の CreateOfficeConversionTask API 操作を呼び出す権限。

      • タスクをクエリする場合、IMM の ListTasks および GetTask API 操作を呼び出す権限。

      • SMQ メッセージを受信する場合、SMQ メッセージを受信および削除する権限。

    3. RAM ユーザーに権限を付与します。詳細については、「RAM ユーザーへの権限の付与」をご参照ください。

    サンプルポリシー

    特定のプロジェクトでドキュメント変換に関連する API 操作を呼び出す権限の付与

    RAM ポリシーは、中国 (上海) リージョンの doc-convert-project プロジェクトで、RAM ユーザーに IMM の CreateOfficeConversionTask、ListTasks、および GetTask API 操作を呼び出す権限を付与するために使用されます。

    パラメーターの説明

    IMM の Resource パラメーターは、acs:imm:<RegionId>:<UID>:project/<ProjectName> 形式です。ビジネス要件に基づいてパラメーターを構成できます。次の表に、パラメーターを示します。

    パラメーター

    説明

    RegionId

    リージョン ID。例:cn-shanghai または cn-beijing。「エンドポイント」で、各リージョンに対応する ID を確認できます。

    UID

    アカウント ID。アカウントセンター[概要] ページで ID を確認できます。

    ProjectName

    IMM プロジェクトの作成時に指定したプロジェクト名。IMM コンソールで名前を確認できます。

    SMQ の Resource パラメーターは、acs:mns:<RegionId>:<UID>:/queues/<QueueName>/messages 形式です。ビジネス要件に基づいてパラメーターを構成できます。次の表に、パラメーターを示します。

    パラメーター

    説明

    RegionId

    リージョン ID。例:cn-shanghai または cn-beijing。「エンドポイント」で、各リージョンに対応する ID を確認できます。

    UID

    アカウント ID。アカウントセンター[概要] ページで ID を確認できます。

    QueueName

    SMQ キューの名前。SMQ コンソール[キュー] ページで名前を確認できます。

    {
    "Version": "1",
    "Statement": [
        {
            "Action": ["imm:CreateOfficeConversionTask", "imm:ListTasks", "imm:GetTask"],
            "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/doc-convert-project",
            "Effect": "Allow"
        },
        {
            "Action": ["mns:ReceiveMessage", "mns:DeleteMessage"],
            "Resource": "acs:mns:cn-shanghai:150910xxxxxxxxxx:/queues/test-queue/messages",
            "Effect": "Allow"
        }
    ]
}