すべてのプロダクト
Search

このプロダクト

    ApsaraVideo Media Processing:RAMユーザーを作成し、RAMユーザーに権限を付与する

    ドキュメントセンター

    ApsaraVideo Media Processing:RAMユーザーを作成し、RAMユーザーに権限を付与する

    最終更新日:Jan 14, 2025

    Resource Access Management (RAM) ユーザーを作成し、RAMユーザーにさまざまなリソースにアクセスするための権限を付与できます。 RAMユーザーとしてApsaraVideo Media Processing (MPS) にアクセスして、AccessKeyペアまたはパスワードの漏洩によるセキュリティリスクを防ぐことができます。 RAMユーザーが MPS を使用できるようにするには、ビジネス要件に基づいて、RAMユーザーに MPS、オブジェクトストレージサービス (OSS)、RAM、Simple Message Queue (formerly MNS)、およびAlibaba Cloud CDNへのアクセスを承認する必要があります。 このトピックでは、RAMユーザーを作成し、RAMユーザーに MPS の使用を承認する方法について説明します。

    説明

    RAMユーザーが MPS を使用するために必要な権限を持っていない場合、RAMユーザーとして MPS で操作を実行すると、/* 指定されたリソースに対する操作がユーザーに許可されていません */ というエラーメッセージが返されます。 RAMユーザーが MPS に対する完全な権限を持っているかどうかを確認してください。 RAMユーザーが MPS に対する完全な権限を持っていない場合は、次のセクションで説明する操作を実行して、必要な権限をRAMユーザーに付与してください。

    手順

    1. 管理権限を持つAlibaba CloudアカウントまたはRAMユーザーを使用して、RAMコンソールにログオンします。

    2. 左側のナビゲーションペインで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、[ユーザーの作成] をクリックします。image

    4. ユーザーアカウント情報[ユーザーの作成] ページの セクションで、次のパラメーターを設定します。

      • [ログオン名]:ログオン名は最大 64 文字で、文字、数字、ピリオド(.)、ハイフン(-)、アンダースコア(_)を含めることができます。

      • [表示名]:表示名は最大 128 文字です。

      • [タグ]edit アイコンをクリックし、タグキーとタグ値を入力します。 RAMユーザーに1つ以上のタグを追加できます。 この方法で、タグに基づいてRAMユーザーを管理できます。

      説明

      [ユーザーの追加] をクリックして、複数のRAMユーザーを一度に作成できます。

    5. 永続 Accesskey を使用したアクセス[アクセスモード] パラメーターで、 を選択します。

    6. [OK] をクリックし、セキュリティ検証を完了します。 AccessKeyペアがRAMユーザーに自動的に生成されます。

    7. コピー[アクション] 列の をクリックし、ユーザー名、パスワード、AccessKey ID、AccessKeyシークレットを含むコピーされたユーザー情報を保存します。

      重要

      アクセスキーペアを安全に保管してください。アクセスキーのシークレットは、RAMユーザーの作成時にのみ表示されます。作成ページを閉じると、アクセスキーのシークレットを表示することはできません。

    8. [ユーザー] ページで、作成されたRAMユーザーを見つけ、権限の追加[アクション] 列の をクリックします。

    9. [権限の付与] パネルで、パラメーターを設定します。

      1. [リソーススコープ] パラメーターを設定して、承認スコープを指定します。

        有効な値

        説明

        アカウント

        RAMユーザーに付与された権限は、現在のAlibaba Cloudアカウント内のリソースに有効です。

        リソースグループ

        RAMユーザーに付与された権限は、指定されたリソースグループ内のリソースにのみ有効です。

      2. [プリンシパル] パラメーターを設定して、プリンシパルを指定します。

        プリンシパルとは、権限を付与するRAMユーザーのことです。

      3. [ポリシー] セクションでポリシーを選択します。 RAMユーザーにアクセスを承認する必要があるサービスと、サポートされているポリシーの詳細については、このトピックの ポリシー セクションを参照してください。

        • システムポリシーを使用する

          [すべてのタイプ] をクリックし、[システムポリシー] を選択します。 検索ボックスにポリシー名を入力して、RAMユーザーにアタッチするポリシーを検索します。 次に、ポリシー名をクリックして、[選択済みポリシー] セクションにポリシーを追加します。

        • カスタムポリシーを使用する

          カスタムポリシーを使用して、権限をきめ細かく管理できます。 カスタムポリシーを作成した後、カスタムポリシーを検索して選択し、RAMユーザーにアタッチできます。 カスタムポリシーの作成方法の詳細については、このトピックの カスタムポリシーの作成 セクションを参照してください。

    1. [権限の付与] をクリックします。

    ポリシー

    RAMユーザーとして MPS を使用するには、RAMユーザーに MPS と OSS へのアクセスを承認する必要があります。 また、RAMユーザーに Simple Message Queue (formerly MNS) およびAlibaba Cloud CDNへのアクセスを承認することもできます。 MPS に対する権限をRAMユーザーに付与するには、システムポリシーを使用する必要があります。 他のサービスに対する権限をRAMユーザーに付与するには、システムポリシーまたはカスタムポリシーを使用できます。

    <

    サービス

    説明

    必須

    システムポリシー

    カスタムポリシー

    MPS

    RAMユーザーが MPS を使用できるようにするには、MPS に対する完全な権限をRAMユーザーに付与する必要があります。

    はい

    MPS に対するすべての読み取りおよび書き込み権限を持つ AliyunMTSFullAccess システムポリシー。

    サポートされていません。

    OSS

    RAMユーザーが MPS を使用できるようにするには、OSS に対する読み取りおよび書き込み権限をRAMユーザーに付与する必要があります。

    はい

    OSS に対するすべての読み取りおよび書き込み権限を持つ AliyunOSSFullAccess システムポリシー。

    サポートされています。 詳細については、このトピックの以降のセクションを参照してください。

    Simple Message Queue (formerly MNS)

    Simple Message Queue (formerly MNS) を使用してジョブに関する通知をサブスクライブするには、SMQ に対する読み取りおよび書き込み権限を RAM ユーザーに付与する必要があります。

    いいえ

    SMQ に対するすべての読み取りおよび書き込み権限を持つ AliyunMNSFullAccess システムポリシー。

    Alibaba Cloud CDN

    Alibaba Cloud CDN を使用してコンテンツ配信を高速化するには、Alibaba Cloud CDN に対する読み取りおよび書き込み権限を RAM ユーザーに付与する必要があります。

    いいえ

    CDN に対するすべての読み取りおよび書き込み権限を持つ AliyunCDNFullAccess システムポリシー。

    カスタムポリシーの作成

    1. Alibaba Cloudアカウントで RAMコンソール にログオンします。

    2. 左側のナビゲーションペインで、権限 > ポリシー を選択します。

    3. [ポリシー] ページで、[ポリシーの作成] をクリックします。 [ポリシーの作成] ページで、[JSON] タブをクリックします。

    4. コードエディターにポリシードキュメントを入力し、[OK] をクリックします。

      説明

      システムポリシーをインポートするか、以下のセクションで説明されているポリシーテンプレートのコードをコードエディターに貼り付けることができます。

    1. 名前説明 などのパラメーターを設定します。

    2. [OK] をクリックします。

    RAMユーザーがMPSにアクセスできるIPアドレスと期間を制限するためのカスタムポリシーの例

    • RAMユーザーは、192.0.2.0/24および203.0.113.2からのみMPSにアクセスできます。

    • RAMユーザーは、2019年8月12日17:00(UTC+8)より前にのみMPSにアクセスできます。 

    {
  "Version": "1",
    "Statement": [{
      "Effect": "Allow",
      "Action": [
        "mts:*",
        "mts-inner:*"
      ],
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "acs:SourceIp": [
            "192.0.2.0/24",
            "203.0.113.2"
          ]},
        "DateLessThan": {
          "acs:CurrentTime": "2019-08-12T17:00:00+08:00"
       }
     }
  ]
}

    OSSのカスタムポリシーの例

    • RAMユーザーに、指定された入力および出力バケットに対するすべての操作を実行するための権限を付与します。

    • RAMユーザーに、バケットを照会するための権限を付与します。 

    {    
  "Version": "1",
    "Statement": [{
      "Effect": "Allow",
      "Action": [
        "oss:ListBuckets"
      ],
      "Resource": "*"
    }, {
      "Effect": "Allow",
      "Action": [
        "oss:*"
      ],
      "Resource": [
        "acs:oss:*:*:$InputBucket",
        "acs:oss:*:*:$InputBucket/*",
        "acs:oss:*:*:$OutputBucket",
        "acs:oss:*:*:$OutputBucket/*
      ]
    }
  ]
}

    パラメーターの説明

    パラメーター

    説明

    oss:ListBuckets

    RAMユーザーが視覚化ツールを使用してOSSで操作を実行するには、oss:ListBuckets権限が必要です。 この権限がRAMユーザーに付与されると、RAMユーザーはすべてのバケットを照会できます。

    ただし、RAMユーザーは、ポリシーで指定された入力および出力バケットのみを管理できます。 oss:ListBuckets権限は、すべてのバケットにのみ適用されます。

    oss:*

    OSSのすべての権限。 ビジネス要件に基づいて、「oss:*」を次の特定の権限に置き換えることもできます。

    "oss:GetObject",

    "oss:PutObject",

    "oss:GetObjectAcl",

    "oss:PutObjectAcl",

    "oss:AbortMultipartUpload",

    "oss:ListParts",

    "oss:RestoreObject",

    "oss:GetVodPlaylist",

    "oss:PostVodPlaylist",

    "oss:PublishRtmpStream",

    "oss:ListObjectVersions",

    "oss:GetObjectVersion",

    "oss:GetObjectVersionAcl",

    "oss:RestoreObjectVersion"

    $InputBucket

    入力ファイルを格納するバケット。

    $OutputBucket

    出力ファイルを格納するバケット。

    詳細については、「」をご参照ください。

    RAMのカスタムポリシーの例

    RAMユーザーに、RAMロールにアタッチされているポリシーを照会するための権限を付与します。 

    {
  "Version": "1",
    "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ram:ListPoliciesForRole"
      ],
      "Resource": "*"
    }
  ]
}

    SMQのカスタムポリシーの例

    • RAMユーザーに、キューとトピックを照会するための権限を付与します。

    • RAMユーザーに、指定されたキューとトピックに対するすべての読み取りおよび書き込み操作を実行するための権限を付与します。 

    {
  "Version": "1",
    "Statement": [{
      "Effect":"Allow",
      "Action":[
        "mns:ListQueue",
        "mns:ListTopic",
        "mns:GetQueueAttributes",
        "mns:GetTopicAttributes"
      ],
      "Resource":"acs:mns:*:*:*"
    }, {
      "Effect": "Allow",
      "Action": "mns:*",
      "Resource": [
        "acs:mns:$Region:$Uid:/queues/$QueueName", 
        "acs:mns:$Region:$Uid:/topics/$TopicName"
      ]
    }
  ]
}

    パラメーターの説明

    パラメーター

    説明

    $QueueName

    MPSキューまたはワークフローに関連付けるSMQキューの名前。

    $TopicName

    MPSキューまたはワークフローに関連付けるSMQトピックの名前。

    詳細な例については、「権限ポリシーと例」をご参照ください。

    Alibaba Cloud CDNのカスタムポリシーの例

    • RAMユーザーに、すべてのCDNアクセラレーションドメイン名を照会するための権限を付与します。

    • RAMユーザーに、指定されたCDNアクセラレーションドメイン名に対するすべての読み取りおよび書き込み操作を実行するための権限を付与します。 

    {
  "Version": "1",
  "Statement": [{
        "Effect": "Allow",
        "Action": "cdn:*",
        "Resource": "acs:cdn:*:$Uid:domain/$DomainName"
        },{
        "Effect": "Allow",
        "Action": "cdn:Describe*",
        "Resource": "*"
      }
  ]
}

    パラメーターの説明

    パラメーター

    説明

    $DomainName

    CDNアクセラレーションドメイン名。

    次の手順

    RAM ユーザーを作成し、RAM ユーザーに権限を付与した後、RAM ユーザーとして Alibaba Cloud 管理コンソールにログオンできます。詳細については、「RAM ユーザーとして Alibaba Cloud 管理コンソールにログオンする」をご参照ください。