Intelligent Media Services (IMS) は、AccessKey ペアを使用して、IMS の API オペレーションを呼び出すユーザーの ID を検証します。これにより、不正なリクエストを効果的に防ぎます。このトピックでは、さまざまな種類の AccessKey ペアと、これらの種類の違いについて説明します。
AccessKey ペアの種類
IMS は、API リクエストごとに呼び出し元の ID を検証します。 IMS は、AccessKey ID と AccessKey Secret で構成される AccessKey ペアを使用して、ユーザーのアカウントにオペレーションを呼び出す権限があるかどうかを検証します。次の種類の AccessKey ペアがサポートされています。
Alibaba Cloud アカウントの AccessKey ペア
IMS をアクティブ化するために使用される Alibaba Cloud アカウントの AccessKey ペアを使用して、IMS リソースにアクセスできます。Alibaba Cloud アカウントは、有効化および無効化された AccessKey ペアを含め、最大 5 つの AccessKey ペアを持つことができます。 Alibaba Cloud アカウントの各 AccessKey ペアは、Alibaba Cloud アカウントに属するリソースに対する完全な権限を持っています。Resource Access Management (RAM) コンソール にログインして、AccessKey ペアを作成または削除できます。各 AccessKey ペアは、有効または無効にすることができます。有効な AccessKey ペアのみを使用して、ユーザー ID を検証できます。
重要Alibaba Cloud アカウントの AccessKey ペアは、アカウント内のすべてのリソースへのフルアクセス権を持っています。 AccessKey ペアの漏洩は、Alibaba Cloud アカウント内のリソースにとって重大な脅威となります。Alibaba Cloud アカウントの AccessKey ペアを使用して IMS リソースにアクセスすることはお勧めしません。
RAM ユーザーの AccessKey ペア
RAM は、Alibaba Cloud によって提供されるリソースアクセス制御サービスです。 RAM ユーザーの AccessKey ペアには、RAM で権限が付与されます。 AccessKey ペアは、RAM によって定義されたルールに基づいてのみ、IMS リソースにアクセスするために使用できます。 RAM を使用すると、従業員、システム、アプリケーションなどのユーザーを一元的に管理し、リソースに対するユーザーのアクセス権限を制御できます。 RAM ユーザーは Alibaba Cloud アカウントに従属し、リソースを所有していません。すべてのリソースは Alibaba Cloud アカウントのみに属します。 RAM コンソールにログインして RAM ユーザーを作成し、RAM ユーザーに権限を付与できます。詳細については、「RAM ユーザーを作成し、RAM ユーザーに権限を付与する」をご参照ください。
STS 一時 AccessKey ペア
Security Token Service (STS) は、一時的なアクセス認証情報を提供する Alibaba Cloud サービスです。 STS 一時 AccessKey ペアは、STS によって発行される AccessKey ペアであり、特定の期間内のみ有効です。 AccessKey ペアは、STS によって定義されたルールに基づいてのみ、IMS リソースにアクセスするために使用でき、有効期限が過ぎると期限切れになります。 RAM コンソールにログインして RAM ロールを作成し、STS を使用して一時アクセスを承認できます。詳細については、「RAM ロールを作成し、STS を使用して一時アクセスを承認する」をご参照ください。
さまざまな種類の AccessKey ペアの比較
AccessKey ペアの種類 | リスクレベル | 権限 | 有効期間 | シナリオ |
Alibaba Cloud アカウントの AccessKey ペア | 非常に高い | すべての IMS リソースを管理および操作する権限 | AccessKey ペアが有効になった後、永続的に有効 | スーパー管理者は、Alibaba Cloud アカウントの AccessKey ペアを使用して操作を実行します。プログラム、特にクライアントでは、Alibaba Cloud アカウントの AccessKey ペアを使用しないことをお勧めします。 |
RAM ユーザーの AccessKey ペア | 高い | ポリシーに基づいて付与される権限 | AccessKey ペアが有効になった後、永続的に有効 | RAM ユーザーの AccessKey ペアは、メディアアセットの登録、メディアアセットのクエリ、制作タスクの送信、制作タスクのクエリなどの操作を実行するために RAM ユーザーを承認するために使用されます。 AccessKey ペアの漏洩を防ぐために、複数の RAM ユーザーを作成できます。たとえば、従業員が退職した場合、AccessKey ペアの漏洩が発生する可能性があります。この場合、従業員のために作成された RAM ユーザーを削除して、漏洩のリスクを防ぐことができます。サーバーでは RAM ユーザーの AccessKey ペアを使用することをお勧めします。 |
STS 一時 AccessKey ペア | 低い | ポリシーに基づいて付与される権限 | 指定された有効期限が過ぎるまで有効 | モバイルまたは Web クライアントで STS 一時 AccessKey ペアを使用できます。 STS 一時 AccessKey ペアを生成するサーバーをデプロイし、一時 AccessKey ペアの有効期限が切れたときに適切なアクションを実行する必要があります。 |
ポリシー
IMS は、次のシステムポリシーを提供します。ビジネス要件に基づいて RAM ユーザーに権限を付与するポリシーを選択できます。
ポリシー | 説明 | API オペレーション |
AliyunICEFullAccess | すべての IMS リソースを管理および操作する権限 | このポリシーは、IMS のすべてのオペレーションに対する権限を付与します。 |
AliyunICEReadOnlyAccess | すべての IMS リソースに対する読み取り専用権限 | このポリシーは、Get、Describe、Search、List オペレーションなど、IMS のすべての読み取り専用オペレーションに対する権限を付与します。 |
システムポリシーに基づいて付与される権限が要件を満たしていない場合は、カスタムポリシーを使用できます。詳細については、「RAM ユーザーを作成し、RAM ユーザーに権限を付与する」トピックの「カスタムポリシーを使用する」セクションをご参照ください。