メディアトランスコードのカスタム権限 - Intelligent Media Management

システムポリシーが要件を満たせない場合は、カスタムポリシーを作成して最小権限の原則を実装できます。カスタムポリシーを使用すると、詳細な権限管理を実現でき、アクセスセキュリティを向上させる効果的な方法です。このトピックでは、メディアトランスコードで権限管理にカスタムポリシーを使用するシナリオと例について説明します。

カスタムサービスロール権限

Intelligent Media Management (IMM) でプロジェクトを作成する場合、プロジェクトのサービスロールを指定する必要があります。サービスロールを使用すると、IMM は Object Storage Service (OSS) などの他のクラウドサービスのリソースにアクセスできます。

カスタムサービスロールを作成する

標準サービスロールを作成する.
カスタムポリシーを作成します。詳細については、「カスタムポリシーを作成する」をご参照ください。
メディアトランスコードを有効にするには、カスタムポリシーに次の権限を含める必要があります。
- OSS バケットの読み取りおよび書き込みアクセス。メディアトランスコードでは、OSS バケットから入力ファイルを読み取り、出力データを書き込みます。
- Simple Message Queue (SMQ) を使用してタスク通知を受信する場合、SMQ を使用してメッセージを送信する権限。
- サービスロールが OSS や SMQ などの他のクラウドリソースにアクセスするための権限。
カスタムポリシーをサービスロールにアタッチします。詳細については、「RAM ロールに権限を付与する」をご参照ください。

サービスロールのカスタムポリシーの例

特定のバケットへの読み取りおよび書き込みアクセスを許可する

次のカスタム Resource Access Management (RAM) ポリシーでは、my-bucket という名前のバケットの読み取りと書き込み、および中国 (上海) リージョンにある test-topic という名前の SMQ トピックへのメッセージの公開を許可します。

パラメーター

OSS オブジェクトの Resource 要素は、acs:oss:*:*:<BucketName>/* 形式です。次の表では、文形式の BucketName パラメーターについて説明します。

パラメーター	説明
`BucketName`	OSS バケット名。OSS コンソールの [バケット] ページでバケット名を表示できます。

関連する SMQ リソースの Resource 要素は、acs:mns:<RegionId>:<UID>:/topics/<TopicName>/messages 形式です。次の表では、文形式のパラメーターについて説明します。

パラメーター	説明
`RegionId`	リージョン ID。例：`cn-shanghai`、`cn-beijing`。リージョン ID のリストについては、「エンドポイント」をご参照ください。
`UID`	アカウント ID。アカウントセンターでアカウント ID をクエリできます。
`TopicName`	SMQ トピックの名前。SMQ コンソールの [トピック] ページでトピックの名前をクエリできます。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:GetObject",
                "oss:PutObject"
            ],
            "Resource": "acs:oss:*:*:my-bucket/*",
            "Effect": "Allow"
        },
        {
            "Action":"mns:PublishMessage",
            "Resource": "acs:mns:cn-shanghai:150910xxxxxxxxxx:/topics/test-topic/messages",
            "Effect": "Allow"
        },
        {
            "Action": "ram:PassRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "acs:Service": "imm.aliyuncs.com"
                }
            }
        }
    ]
}

RAM ユーザーのカスタム権限

RAM は永続的な権限制御メカニズムを提供し、異なる権限を持つ RAM ユーザーを作成できます。RAM ユーザーの AccessKey ペアが侵害された場合でも、グローバルリソースのセキュリティリスクは発生しません。

RAM ユーザーを作成して承認する

RAM ユーザーを作成します。詳細については、「RAM ユーザーを作成する」をご参照ください。
カスタムポリシーを作成します。詳細については、「カスタムポリシーを作成する」をご参照ください。
RAM ユーザーがメディアトランスコードを実行できるようにするには、カスタムポリシーで次の権限を付与する必要があります。
- CreateMediaConvertTask 操作を呼び出す権限。
- タスク情報のクエリが必要な場合、ListTasks 操作と GetTask 操作を呼び出す権限。
- SMQ メッセージを受信して削除する必要がある場合、SMQ メッセージを受信して削除する権限。
カスタムポリシーを RAM ユーザーにアタッチします。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。

RAM ユーザーのカスタムポリシーの例

特定のプロジェクトを使用して CreateMediaConvertTask、ListTasks、および GetTask の呼び出しを許可する

次の RAM ポリシーでは、RAM ユーザーが中国 (上海) リージョンのプロジェクト video-convert-project のみで IMM の CreateMediaConvertTask、ListTasks、および GetTask 操作を呼び出すことを許可します。

パラメーター

IMM リソースの Resource 要素は、acs:imm:<RegionId>:<UID>:project/<ProjectName> 形式です。次の表では、文形式のパラメーターについて説明します。

パラメーター	説明
`RegionId`	リージョン ID。例：`cn-shanghai`、`cn-beijing`。リージョン ID のリストについては、「エンドポイント」をご参照ください。
`UID`	アカウント ID。アカウントセンターでアカウント ID をクエリできます。
`ProjectName`	プロジェクト名。IMM コンソールでプロジェクトの名前をクエリできます。

関連する SMQ リソースの Resource 要素は、acs:mns:<RegionId>:<UID>:/queues/<QueueName>/messages 形式です。次の表では、文形式のパラメーターについて説明します。

パラメーター	説明
`RegionId`	リージョン ID。例：`cn-shanghai`、`cn-beijing`。リージョン ID のリストについては、「エンドポイント」をご参照ください。
`UID`	アカウント ID。アカウントセンターでアカウント ID をクエリできます。
`QueueName`	SMQ キューの名前。SMQ コンソールの [キュー] ページでキューの名前をクエリできます。

{
    "Version": "1",
    "Statement": [
        {
            "Action": ["imm:CreateMediaConvertTask", "imm:ListTasks", "imm:GetTask"],
            "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/video-convert-project",
            "Effect": "Allow"
        },
        {
            "Action": ["mns:ReceiveMessage", "mns:DeleteMessage"],
            "Resource": "acs:mns:cn-shanghai:150910xxxxxxxxxx:/queues/test-queue/messages",
            "Effect": "Allow"
        }
    ]
}

カスタム サービスロール権限

カスタム サービスロールを作成する