ApsaraVideo Media Processing(MPS)は、MPS の API オペレーションの呼び出しをリクエストするユーザーの ID を検証するために、AccessKey ペアを使用します。これにより、不正なリクエストを効果的に防止できます。このトピックでは、AccessKey ペアの基本概念と、さまざまな種類の AccessKey ペアの比較について説明します。
AccessKey ペア
MPS は、API オペレーションの呼び出しをリクエストするユーザーの ID を検証し、ユーザーアカウントの AccessKey ペアを使用して、ユーザーがそのオペレーションを呼び出す権限を持っているかどうかを検証します。
AccessKey ペアに関連する概念
ユーザーは、Alibaba Cloud サービスの API オペレーションを呼び出すために、AccessKey ペアを提供する必要があります。AccessKey ペアは、ユーザーが API オペレーションの呼び出しをリクエストしたときに、ユーザーの ID とユーザーアカウントの権限を検証するために使用されます。 AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。
AccessKey ID は、ユーザーの ID を検証するために使用されます。
AccessKey Secret は、ユーザーのキーを検証するために使用されます。 AccessKey Secret は機密にしておく必要があります。
説明AccessKey Secret は、AccessKey ペアを作成するときにのみ表示されます。後続の操作で AccessKey Secret を照会することはできません。後で使用するために AccessKey Secret を保存しておくことをお勧めします。 AccessKey ペアを作成した後、AccessKey ペアを記録した CSV ファイルをダウンロードするか、AccessKey ペアをコピーできます。
AccessKey ペアの種類
Alibaba Cloud アカウントの AccessKey ペア
MPS のアクティベートに使用される Alibaba Cloud アカウントは、有効化済みと無効化済みの AccessKey ペアを含め、最大 5 つの AccessKey ペアを持つことができます。 Alibaba Cloud アカウントの各 AccessKey ペアは、Alibaba Cloud アカウントに属するリソースに対する完全な権限を持っています。 Resource Access Management(RAM)コンソールにログインして、AccessKey ペアを作成または削除できます。各 AccessKey ペアは、有効または無効にすることができます。有効化された AccessKey ペアのみを使用して、ユーザー ID を検証できます。
Alibaba Cloud アカウントの AccessKey ペアは、すべてのリソースへのフルアクセスを許可するため、AccessKey ペアが漏洩した場合、データ漏洩のリスクが高くなります。 Alibaba Cloud アカウントの AccessKey ペアを使用しないことをお勧めします。 MPS の API オペレーションを呼び出すには、RAM ユーザーの AccessKey ペアを使用することをお勧めします。
RAM ユーザーの AccessKey ペア
RAM は、Alibaba Cloud によって提供されるリソースアクセス制御サービスです。 RAM を使用すると、従業員、システム、アプリケーションなどのユーザーを一元的に管理し、リソースに対するユーザーのアクセス権限を制御できます。
RAM ユーザーの AccessKey ペアは、RAM で承認されます。 AccessKey ペアは、RAM によって定義されたルールに基づいてのみ、MPS へのアクセスに使用できます。 RAM ユーザーごとに最大 2 つの AccessKey ペアを作成できます。 AccessKey ペアは、有効または無効にすることができます。 RAM ユーザーは Alibaba Cloud アカウントに従属し、リソースを所有していません。すべてのリソースは Alibaba Cloud アカウントのみに属します。 RAM コンソールにログインして RAM ユーザーを作成し、RAM ユーザーに権限を付与できます。詳細については、「RAM ユーザーの作成と RAM ユーザーへの権限の付与」をご参照ください。
STS 一時 AccessKey ペア
Security Token Service(STS)は、一時的なアクセス認証情報を提供する Alibaba Cloud サービスです。 STS 一時 AccessKey ペアは、STS によって発行される AccessKey ペアであり、特定の期間有効です。 AccessKey ペアは、STS によって定義されたルールに基づいてのみ MPS リソースへのアクセスに使用でき、有効期限が過ぎると期限切れになります。 RAM コンソールにログインして RAM ロールを作成し、RAM ロールに STS 権限を付与できます。詳細については、「信頼された Alibaba Cloud アカウントの RAM ロールの作成と MPS へのアクセス権限の付与」をご参照ください。
さまざまな種類の AccessKey ペアの比較
AccessKey ペアの種類 | リスクレベル | 権限 | 有効期間 | シナリオ |
Alibaba Cloud アカウントの AccessKey ペア | 非常に高い | すべての MPS リソースを管理および操作する権限 | AccessKey ペアが有効化された後、永続的に有効 | Alibaba Cloud アカウントの AccessKey ペアは、スーパー管理者が操作を実行するために使用できます。プログラム、特にクライアントでは、Alibaba Cloud アカウントの AccessKey ペアを使用しないことをお勧めします。 |
RAM ユーザーの AccessKey ペア | 高い | ポリシーに基づいて付与される権限 | AccessKey ペアが有効化された後、永続的に有効 | RAM ユーザーの AccessKey ペアは、トランスコーディングやスナップショットのキャプチャなどの操作を実行するために RAM ユーザーを承認するために使用されます。 AccessKey ペアの漏洩を防ぐために、複数の RAM ユーザーを作成できます。たとえば、従業員が退職した場合、AccessKey ペアが漏洩する可能性があります。サーバーでは RAM ユーザーの AccessKey ペアを使用することをお勧めします。 |
STS 一時 AccessKey ペア | 低い | ポリシーに基づいて付与される権限 | 指定された有効期限が過ぎるまで有効 | モバイルまたは Web クライアントで STS 一時 AccessKey ペアを使用する場合は、STS 一時 AccessKey ペアを生成するサーバーをデプロイし、一時 AccessKey ペアの期限が切れたときに適切なアクションを実行する必要があります。 |
ポリシー
RAM ユーザーとして MPS を使用するには、RAM ユーザーに MPS と OSS へのアクセスを承認する必要があります。また、RAM ユーザーに Simple Message Queue (formerly MNS) および Alibaba Cloud CDN へのアクセスを承認することもできます。MPS に対する権限を RAM ユーザーに付与するには、システムポリシーを使用する必要があります。他のサービスに対する権限を RAM ユーザーに付与するには、システムポリシーまたはカスタムポリシーを使用できます。
サービス | 説明 | 必須 | システムポリシー | カスタムポリシー |
MPS | RAM ユーザーが MPS を使用できるようにするには、MPS に対するすべての権限を RAM ユーザーに付与する必要があります。 | はい | MPS に対するすべての読み取りおよび書き込み権限を持つ AliyunMTSFullAccess システムポリシー。 | サポートされていません。 |
OSS | RAM ユーザーが MPS を使用できるようにするには、OSS に対する読み取りおよび書き込み権限を RAM ユーザーに付与する必要があります。 | はい | OSS に対するすべての読み取りおよび書き込み権限を持つ AliyunOSSFullAccess システムポリシー。 | サポートされています。詳細については、このトピックの以降のセクションを参照してください。 |
Simple Message Queue (formerly MNS) | Simple Message Queue (formerly MNS) を使用してジョブに関する通知をサブスクライブするには、SMQ に対する読み取りおよび書き込み権限を RAM ユーザーに付与する必要があります。 | いいえ | SMQ に対するすべての読み取りおよび書き込み権限を持つ AliyunMNSFullAccess システムポリシー。 | |
Alibaba Cloud CDN | Alibaba Cloud CDN を使用してコンテンツ配信を高速化するには、Alibaba Cloud CDN に対する読み取りおよび書き込み権限を RAM ユーザーに付与する必要があります。 | いいえ | CDN に対するすべての読み取りおよび書き込み権限を持つ AliyunCDNFullAccess システムポリシー。 |
システムポリシーに基づいて付与される権限が要件を満たしていない場合は、承認ポリシーをカスタマイズできます。詳細については、「RAM ユーザーの作成と RAM ユーザーへの権限の付与」をご参照ください。